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理 。 不 论 是 OSI 的 网 络 管理 ， 还 是 IETF 的 网 络 管理 ， 都 认为 现代 计算 机 网 络 管理 系统 基 
本 上 由 以 下 4 个 要 素 组 成 。 

@ 网 络 管理 者 (Network Manager) 

@ 网 管 代理 (Managed Agent) 

@ ”网络 管理 协议 (Network Management Protocol) 

e@ 管理 信息 库 (Management Information Base，MIB) 


图 11-2 管理 者 -代理 的 网 络 管理 模型 


网 络 管理 者 (管理 进程 》 是 管理 指令 的 发 出 者 。 网 络 管理 者 通过 各 网 管 代理 对 网 络 内 
的 各 种 设备 、 设 施 和 资源 实施 监视 和 控制 。 网 管 代理 负责 管理 指令 的 执行 ， 并 且 以 通知 的 
形式 向 网 络 管理 者 报告 被 管 对 象 发 生 的 一 些 重要 事件 。 网 管 代理 具有 两 个 基本 功能 : 一 是 
从 MIB 中 读 取 各 种 变量 值 ， 二 是 在 MIB 中 修改 各 种 变量 值 。MIB 是 被 管 对 象 结 构 化 组 织 
的 一 种 抽象 。 它 是 一 个 概念 上 的 数据 库 ， 由 管理 对 象 组 成 ， 各 个 网 管 代 理 管理 MIB 中 属于 
本 地 的 管理 对 象 ， 各 管理 网 管 代理 控制 的 管理 对 象 共 同 构成 全 网 的 管理 信息 库 。 

网 络 管理 协议 是 最 重要 的 部 分 ， 它 定义 了 网 络 管理 者 与 网 管 代理 间 的 通信 和 方法， 规定 
了 管理 信息 库 的 存储 结构 、 信 息 库 中 关键 词 的 含义 以 及 各 种 事件 的 处 理 方法 。 在 系统 管理 
模型 中 ， 管 理 者 角色 与 网 管 代理 角色 不 是 固定 的 ， 而 是 由 每 次 通信 的 性 质 所 决定 。 担 当 管 
理 者 角色 的 进程 向 担当 网 管 代理 角色 的 进程 发 出 操作 请 求 ， 担 当 网 管 代理 角色 的 进程 对 被 
管 对 象 进行 操作 并 将 被 管 对 象 发 出 的 通报 传 向 管理 者 。 


11.2 ”简单 网 络 管理 协议 


在 网 络 管理 模型 中 ， 网 络 管理 者 和 代理 之 间 需 要 交换 大 量 的 管理 信息 。 这 一 过 程 必须 
遵循 统一 的 通信 规范 ， 我 们 把 这 个 通信 规范 称 为 网 络 管理 协议 。 网 络 管理 协议 是 高 层 网 络 
应 用 协议 ， 它 建立 在 具体 物理 网 络 及 其 基础 通信 协议 基础 之 上 ， 为 网 络 管理 平台 服务 。 

网 络 管理 协议 提供 了 访问 任何 生产 厂商 生产 的 任何 网 络 设备 ， 并 获得 一 系列 标准 值 的 
一 致 性 方式 。 对 网 络 设备 的 查询 包括 设备 的 名 字 、 设 备 中 软件 的 版 本 、 设 备 中 的 接口 数 和 
设备 中 一 个 接口 的 每 秒 包 数 等 。 用 于 设置 网 络 设备 的 参数 包括 设备 的 名 字 、 网 络 接口 的 地 
址 、 网 络 接口 的 运行 状态 和 设备 的 运行 状态 等 。 

目前 使 用 的 网 络 管理 协议 包括 SNMP、CMIS/CMIP、LMMP 和 RMON 等 。LMMP 是 
LEEE 制定 的 局 域 网 和 城 域 网 管理 标准 ， 用 于 管理 物理 层 和 数据 链 路 层 的 OSI 设备 ， 它 利 
用 了 CMIP。RMON 用 于 远程 网 络 监 视 ， 它 是 SNMP 的 补充 ， 它 定义 了 监视 局 域 网 通信 的 
管理 信息 库 ， 与 SNMP 协议 配合 可 以 提供 更 有 效 的 管理 性 能 。 下 面 主要 介绍 SNMP 这 个 具 
有 代表 性 的 网 络 管理 协议 。 
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11.2.1 SNMP 概述 


SNMP 是 由 一 系列 协议 组 和 规范 组 成 ， 它 们 提供 了 一 种 从 网 络 上 的 设备 中 收集 网 络 管 
理 信息 的 方法 。SNMP 的 体系 结构 分 为 SNMP 管理 者 (SNMP Manager) 和 SNMP 代理 者 
(SNMP Agent) ， 每 一 个 支持 SNMP 的 网 络 设备 中 都 包含 一 个 网 管 代理 ,网 管 代理 随时 记 
录 网 络 设备 的 各 种 信息 ,网 络 管理 程序 再 通过 SNMP 通信 协议 收集 网 管 代 理 所 记 录 的 信息 。 
从 被 管理 设备 中 收集 数据 有 两 种 方法 ， 一 种 是 轮 询 方法 ， 另 一 种 是 基于 中 断 的 方法 。 

SNMP 使 用 嵌入 到 网 络 设施 中 的 代理 软件 来 收集 网 络 的 通信 信息 和 有 关 网 络 设备 的 统 
计数 据 。 代 理 软 件 不 断 地 收集 统计 数据 ， 并 把 这 些 数据 记录 到 一 个 管理 信息 库 中 。 网 管 员 
通过 向 代理 的 MIB 发 出 查询 信号 可 以 得 到 这 些 信息 ， 这 个 过 程 就 叫 轮 询 。 为 了 能 够 全 面 地 
查看 一 天 的 通信 流量 和 变化 率 , 管理 人 员 必 须 不 断 地 轮 询 SNMP 代理 , 每 分 钟 就 轮 询 一 次 。 
这 样 ， 网 管 员 可 以 使 用 SNMP 来 评价 网 络 的 运行 状况 ， 并 分 析出 通信 的 趋势 。 例 如 ， 哪 一 
个 网 段 接近 通信 和 负载 的 最 大 能 力 或 正在 使 用 的 通信 出 错 等 。 先 进 的 SNMP 网 管 站 甚至 可 以 
通过 编程 来 自动 关闭 端口 或 采取 其 他 矫正 措施 来 处 理 历 史 的 网 络 数据 。 

如 果 只 是 用 轮 询 的 方法 ， 那 么 网 络 管理 工作 站 总 是 在 控制 之 下 。 但 这 种 方法 的 缺陷 在 
于 信息 的 实时 性 ， 尤 其 是 错误 的 实时 性 。 多 长 时 间 轮 询 一 次 、 轮 询 时 选择 什么 样 的 设备 顺 
序 都 会 对 轮 询 的 结果 产生 影响 。 轮 询 的 间隔 太 小 ,会 产生 太 多 不 必要 的 通信 量 ; 间隔 太 大 ， 
而 且 轮 询 时 顺序 不 对 ， 那 么 关于 一 些 大 的 灾难 性 事件 的 通知 又 会 太 慢 ， 这 就 违背 了 积极 主 
动 的 网 络 管理 目的 。 与 之 相 比 ， 当 有 异常 事件 发 生 时 ， 基 于 中 断 的 方法 可 以 立即 通知 网 络 
管理 工作 站 ， 实 时 性 很 强 。 但 这 种 方法 也 有 缺陷 。 产 生 错 误 或 自 陷 需要 系统 资源 ， 如 果 自 
陷 必 须 转发 大 量 的 信息 ， 那 么 被 管理 设备 可 能 不 得 不 消耗 更 多 的 事件 和 系统 资源 来 产生 自 
陷 ， 这 将 会 影响 到 网 络 管理 的 主要 功能 。 

- 般 来 说 ， 网 络 管理 工作 站 轮 询 在 被 管理 设备 中 的 代理 来 收集 数据 ， 并 且 在 控制 台 上 
用 数字 或 图 形 的 表示 方法 来 显示 这 些 数 据 。 被 管理 设备 中 的 代理 可 以 在 任何 时 候 向 网 络 管 
理工 作 站 报告 错误 情况 ， 而 并 不 需要 等 到 管理 工作 站 为 获得 这 些 错 误 情 况 而 轮 询 它 的 时 候 
才 报告 。 

简单 网 络 管理 协议 (SNMP) 已 经 成 为 事实 上 的 标准 网 络 管理 协议 。 由 于 SNMP 首先 
是 IETF 的 研究 小 组 为 了 解决 在 因特网 上 的 路 由 器 管理 问题 提出 的 , 因此 许多 人 认为 SNMP 
只 能 在 IP 上 运行 , 但 事实 上 , 目前 SNMP 已 经 被 设计 成 与 协议 无 关 的 网 管 协议 ， 所 以 它 在 
IP、IPX 和 AppleTalk 等 协议 上 均 可 以 使 用 。 
11.2.2 SNMP 管理 信息 库 


计算 机 网 络 管理 涉及 网 络 中 的 各 种 资源 ， 包 括 两 大 类 : 硬件 资源 和 软件 资源 。 硬 件 资 
源 是 指 物 理 介质 、 计 算 机 设备 和 网 络 互 连 设备 。 物 理 介质 通 常 是 物理 层 和 数据 链 路 层 设备 ， 
如 网 卡 、 双 绞 线 和 同 轴 电 缆 等 ， 计 算 机 设备 包括 处 理 机 、 打 印 机 和 存储 设备 及 其 他 计算 机 
外 围 设 备 ， 常 用 的 网 络 互 连 设备 有 中 继 器 、 网 桥 、 路 由 器 和 网 关 等 。 软 件 资源 主要 包括 操 
作 系 统 、 应 用 软件 和 通信 和 软件。 通信 和 软件 是 指 实现 通信 协议 的 软件 ， 例 如 在 FDDI、ATM 
和 FR 这 些 主要 依靠 软件 的 网 络 中 就 大 量 采用 了 通信 软件 。 另 外， 软件 资源 还 有 路 由 器 软 
件 和 网 桥 软 件 等 。 

网 络 环境 下 资源 的 表示 是 网 络 管理 的 一 个 关键 问题 。 目 前 一 般 采 用 “被 管 对 象 
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(Managed Object) ”来 表示 网 络 中 的 资源 。 被 管 对 象 的 集合 被 称 作 MIB， 即 管理 信息 库 ， 
所 有 相关 的 网 络 被 管 对 象 信息 都 放 在 其 中 。 


注意 : MIB 仅 是 一 个 概念 上 的 数据 库 ， 在 实际 网 络 中 并 不 存在 一 个 这 样 的 库 。 目 前 网 
络 管理 系统 的 实现 主要 依靠 被 管 对 象 和 MIB， 所 以 它们 是 网 络 管理 中 非常 重要 
的 概念 。 


MIB 是 一 个 信息 存储 库 ， 是 网 络 管理 系统 中 的 一 个 非常 重要 的 部 分 。MIB 定义 了 一 种 
对 象 数据 库 ， 由 系统 内 的 许多 被 管 对 象 及 其 属性 组 成 。 通 常 ， 网 络 资源 被 抽象 为 对 象 进行 
管理 。 对 象 的 集合 被 组 织 为 MIB。MIB 作为 设 在 网 管 代理 处 的 管理 站 访问 点 的 集合 ， 管 理 
站 通过 读 取 MIB 中 对 象 的 值 来 进行 网 络 监控 。 管 理 站 可 以 在 网 管 代理 处 产生 动作 ， 也 可 以 
通过 修改 变量 值 改 变 网 管 代理 处 的 配置 。 

MIB 中 的 数据 可 大 体 分 为 3 类 : 感 测 数据 、 结 构 数 据 和 控制 数据 。 感 测 数据 表示 测量 
到 的 网 络 状态 。 感 测 数据 是 通过 网 络 的 监测 过 程 获得 的 原始 信息 ， 包 括 节点 队列 长 度 、 重 
发 率 、 链 路 状态 和 呼叫 统计 等 。 这 些 数据 是 网 络 的 计 费 管理 、 性 能 管理 和 故障 管理 的 基本 
数据 ;结构 数据 描述 网 络 的 物理 和 逻辑 构成 。 对 应 感 测 数据 ， 结 构 数据 是 静态 的 〈 变 化 组 
慢 的 ) 网 络 信息 ， 它 包括 网 络 拓扑 结构 、 交 换 机 和 中 继 线 的 配置 、 数 据 密 钥 和 用 户 记录 等 。 
这 些 数据 是 网 络 的 配置 管理 和 安全 管理 的 基本 数据 ;控制 数据 存储 网 络 的 操作 设置 。 控 制 
数据 代表 网 络 中 那些 可 以 调整 参数 的 设置 ， 如 中 继 线 的 最 大 流 、 交 换 机 输出 链 路 业务 分 流 
比率 和 路 由 表 等 。 控 制 数据 主要 用 于 网 络 的 性 能 管理 。 

在 现代 网 络 管理 模型 中 ， 管 理 信息 库 是 网 络 管理 系统 的 核心 。 网 络 操作 员 在 管理 网 络 
时 , 只 与 MIB 打交道 , 当 他 要 对 网 络 功 能 进行 调整 时 , 只 须 更 新 数据 库 中 对 应 的 数据 即 可 ， 
实际 对 物理 网 络 的 操作 由 数据 库 系 统 控制 完成 。 现 在 有 几 种 已 经 定义 的 通用 的 标准 管理 信 
息 库 ， 其 中 使 用 最 广泛 、 最 通用 的 MIB 是 MIB-I。 
11.2.3 SNMP 操作 


实际 的 网 络 都 是 由 多 个 厂家 生产 的 各 种 设备 组 成 的 , 主机 可 能 是 SPARC 工作 站 或 PC， 
路 由 器 可 能 来 自 于 Cisco 或 者 华为 。 要 使 网 络 管理 者 与 不 同 种 类 的 被 管 设备 通信 ， 就 必须 
以 一 种 与 厂家 无 关 的 标准 方式 精确 定义 网 络 管理 信息 。SNMP 管理 体系 结构 由 管理 者 〈 管 
理 进程 ) 、 网 管 代 理 和 管理 信息 库 (MIB) 3 部 分 组 成 ， 该 体系 结构 的 核心 是 MIB，MIB 
由 网 管 代理 维护 而 由 管理 者 读 写 。 管 理 者 是 管理 指令 的 发 出 者 ， 这 些 指令 包括 一 些 管理 操 
作 。 管 理 者 通过 各 设备 的 网 管 代理 对 网 络 内 的 各 种 设备 、 设 施 和 资源 实施 监视 和 控制 。 网 
管 代理 负责 管理 指令 的 执行 ， 并 且 以 通知 的 形式 向 管理 者 报告 被 管 对 象 发 生 的 一 些 重 要 事 
件 。 代 理 具 有 两 个 基本 功能 : 从 MIB 中 读 取 各 种 变量 值 ， 在 MIB 中 修改 各 种 变量 值 。 网 
络 中 所 有 可 管 对 象 的 集合 称 为 MIB，MIB 是 被 管 对 象 结构 化 组 织 的 一 种 抽象 。 它 是 一 个 概 
念 上 的 数据 库 ， 由 管理 对 象 组 成 ， 各 个 代理 管理 MIB 中 属于 本 地 的 管理 对 象 ， 各 管理 代理 
控制 的 管理 对 象 共同 构成 全 网 的 管理 信息 库 。 

SNMP 实体 不 需要 在 发 出 请 求 后 等 待 响应 到 来 ， 是 一 个 异步 的 请 求 /响应 协议 。SNMP 
仅 支持 对 管理 对 象 值 的 检索 和 修改 等 简单 操作 ， 具 体 讲 ，SNMPv1l 支持 4 种 操作 。 

QD get: 用 于 获取 特定 对 象 的 值 ， 提 取 指 定 的 网 络 管理 信息 。 

@ get-next: 通过 遍历 MIB 树 获取 对 象 的 值 , 提供 扫描 MIB 树 和 依次 检索 数据 的 方法 。 
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@ set: 用 于 修改 对 象 的 值 ， 对 管理 信息 进行 控制 。 

@ trap: 用 于 通报 重要 事件 的 发 生 ， 代 理 使 用 它 发 送 非 请 求 性 通知 给 一 个 或 多 个 预 配 
置 的 管理 工作 站 ， 用 于 向 管理 者 报告 管理 对 象 的 状态 变化 。 

以 上 4 个 操作 中 ， 前 3 个 是 请 求 由 管理 者 发 给 代理 ， 需 要 代理 发 出 响应 给 管理 者 ， 最 
后 一 个 则 是 由 代理 发 给 管理 者 ， 但 并 不 需要 管理 者 响应 。 

SNMP 在 计算 机 网 络 应 用 非常 广泛 ， 虽 已 成 为 事实 上 的 计算 机 网 络 管理 的 标准 ， 但 是 
SNMP 还 有 许多 自身 难以 克服 的 缺点 ，SNMP 不 适合 管理 真正 的 大 型 网 络 ， 国生 
轮 询 机 制 的 ， 在 大 型 网 络 中 效率 很 低 ，SNMP 的 MIB 模型 不 适合 比较 复杂 的 查询 ， 不 适 
大 量 数 据 的 查询 ，SNMP 的 trap 是 无 确认 的 ， 这 样 不 能 确保 将 那些 非常 严重 的 告警 发 送 到 
管理 者 ; SNMP 不 支持 如 创建 、 删 除 等 类 型 的 操作 ， 要 完成 这 些 操作 ， 必 须 用 set 命令 间接 
触发 ，SNMP 的 安全 管理 较 差 ， SNMP 定义 了 太 多 的 管理 对 象 类 ， 管 理 者 必须 明白 许多 的 
管理 对 象 类 的 准确 含义 。 

【 例 11-1】 在 Windows Server 2003 操作 系统 中 ， 安 装 并 配置 SNMP 服务 。 

SNMP 服务 的 安装 方法 同 其 他 服务 的 安装 方法 类 似 ， 但 是 需要 注意 的 是 安装 SNMP 服 
务 首先 必须 安装 TCP/IP 协议 。 

(1) 安装 SNMP 服务 

@ 以 管理 员 身份 登录 ， 在 “控制 面板 ”中 选择 “网 络 和 拨号 连接 ”并 双击 它 ， 系 统 弹 
出 网 络 和 拨号 连接 窗口 ， 选 择 菜单 “高 级 ”下 的 “可 选 网 络 组 件 ”， 如 图 11-3 所 示 。 


me 护 名 () 查看 (0 收 关 (0) 工具 (D | 高 | 


RE HE ny 
| 地址 (0) [多 网 络 连 接 RR 


图 11-3 添加 网 络 组 件 


@ 系统 弹出 “可 选 网 络 组 件 向 导 ” 窗 口 ， 在 “可 选 网 络 组 件 向 导 ” 窗 口中 的 组 件 列表 
中 选择 “管理 和 监视 工具 ”， 如 图 11-4 所 示 。 


可 选 的 网 络 组 件 向 导 


2 灰色 框 表示 只 会 安装 计 姐 件 的 
Ss 
组 件 尼 )- 


口 和 5 其 他 网 络 文件 和 打印 服务 0.0 上 
EE 0.3 上 


习 


所 大 oom 
可 用 碰 儿 二 司 - asT 2 四 i 


sea LI WR 


图 11-4 可 选 网 络 组 件 向 导 
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图 单 击 “ 下 一 步 ” 按钮， 系统 提示 插入 系统 光盘 ， 将 相应 的 光盘 放 入 到 CD-ROM 后 ， 
单 击 “ 确 定 ” 按 钮 ， 如 图 11-5 所 示 。 


11-5 插入 系统 光盘 
@ 系统 自动 从 光盘 中 添加 SNMP 服务 ， 并 完成 SNMP 服务 的 安装 ， 如 图 11-6 所 示 。 


[windows 可 连 的 同 络 组 件 向 导 


图 11-6 添加 SNMP 服务 


(2) 配置 SNMP 服务 
@ 在 “控制 面板 ”中 双击 “管理 工具 ”选项 ， 弹 出 “管理 工具 ”窗口 ， 如 图 11-7 
所 示 。 


Miresoft HET Framewatk Li Mierosoft NET frarewesk Ll Merosoft NET Framewok Ll 
mn Waarcs 配置 


11-7 “管理 工具 ”窗口 
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图 11-8 “服务 ”窗口 
@ 在 “服务 ”窗口 中 选择 SNMP Service， 并 双击 它 ， 弹 出 “SNMP 服务 属性 ”窗口 ， 


如 图 11-9 所 示 。SNMP 服务 使 用 的 主要 信息 都 在 这 个 窗口 中 进行 配置 。 
@ 选择 “代理 ”选项 卡 进行 代理 设置 ， 如 图 11-10 所 示 。 其 中 的 联系 人 、 位 置 和 服务 


图 11-9 SNMP 属性 设置 图 11-10 代理 设置 


@ 选择 “ 陷 井 ”选项 进行 陷阱 配置 ， 如 图 11-11 所 示 。 需 要 配置 的 内 容 包括 团体 名 
和 陷 井 目标 。 起 总 团体 名 的 输入 要 注意 大 小 写 , 陷 井 目标 可 以 是 IP/IPX 地 址 或 DNS 主机 
名 等 。 

@ 选择 “安全 ”选项 进行 安全 配置 ， 如 图 11-12 所 示 。 该 部 分 内 容 是 为 发 送 需要 认 
证 的 陷入 报 文 设置 的 。 如 果 不 选择 “发 送 身份 认证 陷阱 ”选项 ， 则 任何 团体 名 都 是 有 效 
的 。 另 外 可 以 配置 代理 接受 任何 主机 或 只 接收 特定 主机 的 SNMP 包 ， 可 以 在 该 选项 中 进 
行 设 置 。 
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图 11-11 陷 井 设置 图 11-12 安全 设置 


@ 上 述 内 容 设置 完成 后 ， 单 击 “ 确 定 ” 按 钮 ， 退 出 SNMP 属性 配置 窗口 ， 新 的 配置 
就 起 作用 了 。 
(3) SNMP 服务 的 测试 
在 SNMP 服务 安装 、 配 置 完 成 后 重新 启动 系统 ，SNMP 服务 就 开始 工 了 ， 工 作 站 可 以 
接收 SNMP 的 询问 。 在 Windows 安装 盘 中 附带 了 一 个 Microsoft 提供 的 ， 图 形 界面 的 测试 
程序 SNMPUTILG, 可 以 用 于 测试 SNMP 服务 ,也 可 以 测试 用 户 开发 的 扩展 功能 。 如 图 11-13 
所 示 。 


图 11-13 SNMPUTILG 程序 界面 


11.3 ”网 络 管理 系统 


通过 前 面 的 学 习 ， 明 白 了 网 络 管理 的 概念 、 网 络 管理 采用 的 协议 以 及 网 络 管理 的 体系 
结构 《管理 站 和 代理 模型 ) 。 那 么 网 络 管理 的 最 终 目 标 通 过 什么 实现 呢 ? 是 通过 网 络 管理 
系统 ， 也 就 是 要 通过 一 个 实施 网 络 管理 功能 的 应 用 系统 来 实现 。 随 着 信息 社会 对 网 络 的 依 
赖 性 越 来 越 强 ， 网 络 管理 系统 作为 附加 在 业务 网 这 一 裸 网 上 的 支撑 系统 ， 受 到 了 前 所 未 有 
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的 重视 。 对 于 网 络 管理 员 来 说 ， 如 何 有 效 地 管理 网 络 ， 如 何 为 现 有 网 络 规划 设计 网 络 管理 
系统 (Network Management System，NMS) 已 变 得 尤为 迫切 。 


11.3.1 网 络 管理 系统 概述 


网 络 管理 系统 是 用 来 管理 网 络 、 保 障 网 络 正常 运行 的 软件 和 硬件 的 有 机 组 合 ， 是 在 网 
络 管理 平台 的 基础 上 实现 的 各 种 网 络 管理 功能 的 集合 ， 包 括 故 障 管理 、 性 能 管理 、 配 置 管 
理 、 安 全 管理 和 计 费 管理 等 功能 。 网 络 管理 系统 提供 的 基本 功能 通常 包括 : 网 络 拓扑 结构 
的 自动 发 现 、 网 络 故障 报告 和 处 理 、 性 能 数据 采集 和 可 视 化 分 析 工 具 、 计 费 数据 采集 和 基 
本 安全 管理 工具 。 通 过 网 络 管理 系统 提供 的 管理 功能 和 管理 工具 ， 网 络 管理 员 就 可 以 完成 
日 常 的 各 种 网 络 管理 任务 了 。 
虽然 网 络 管理 系统 是 用 来 管理 网 络 、 保 障 网 络 正常 运行 的 关键 手段 , 但 在 实际 应 用 中 ， 
并 不 能 完全 依赖 于 现成 的 网 管 产 品 ， 由 于 网 络 系 统 复杂 多 变 ， 现 成 的 产品 往往 难以 解决 所 
有 的 网 管 问题 。 一 项 权威 调查 显示 ， 真 正直 接 使 用 现 有 的 成 熟 的 商业 化 管理 系统 的 单位 只 
有 少量 ， 其 余 大 部 分 是 在 现 有 的 网 络 管理 平台 上 二 次 开发 的 系统 。 也 就 是 说 一 个 好 的 网 络 
管理 系统 建设 是 离 不 开 自 主 开发 的 。 换 名 话说 ， 一 个 成 功 实用 的 网 络 管理 系统 建设 经 常 伴 
随 着 在 现 有 的 网 络 管理 平台 上 进行 二 次 开发 的 过 程 。 


11.3.2 HP OpenView 


1. HP OpenView 简介 

HP OpenView 是 一 个 具有 战略 性 意义 的 产品 ， 它 集成 了 网 络 管理 和 系统 管理 双方 的 优 
点 ， 并 把 它们 有 机 地 结合 在 一 起 ， 形 成 一 个 单一 而 完整 的 管理 系统 ， 从 而 使 企业 在 急速 发 
展 的 因特网 时 代 取 得 辉煌 成 功 ， 立 于 不 败 之 地 。 在 E-Services 电子 化 服务 〉 的 大 主题 下 ， 
HP OpenView 系列 产品 包括 了 统一 管理 平台 、 全 面 的 服务 和 资产 管理 、 网 络 安全 、 服 务 质 
量 保障 、 故 障 自动 检测 和 处 理 、 设 备 搜 索 、 网 络 存储 、 智 能 代理 、 因 特 网 环境 的 开放 式 服 
务 等 丰富 的 功能 特性 。 

HP 公司 是 最 早 开发 网 络 管理 产品 的 厂商 之 一 。OpenView 是 HP 公司 的 旗舰 软件 产品 ， 
已 成 为 网 络 管理 平台 的 典范 ， 有 无 数 的 第 三 方 厂商 在 OpenView 的 平台 上 开发 网 络 管理 部 
门 的 应 用 。OpenView 解决 方案 实现 了 网 络 运作 从 被 动 无 序 到 主动 控制 的 过 渡 , 使 网 络 管理 
部 门 及 时 了 解 整个 网 络 当 前 的 真实 情况 ， 实 现 主动 控制 ， 而 且 OpenView 解决 方案 的 预防 
式 管理 工具 临界 值 设 定 与 趋势 分 析 报 表 ， 可 以 让 IT 部 门 采取 更 具 预 防 性 的 措施 ， 以 保障 管 
理 网 络 的 健全 状态 。 简 单 地 说 ，OpenView 解决 方案 是 从 用 户 网 络 系统 的 关键 性 能 入 手 ， 帮 
助 其 迅速 地 控制 网 络 ， 然 后 还 可 以 根据 需要 增加 其 他 解决 方案 。 


注意 : HP OpenView 不 是 一 个 特定 的 产品 ， 而 是 一 个 产品 系列 ， 它 包括 一 系列 管理 平 
台 ， 一 整套 网 络 和 系统 管理 应 用 开发 工具 。OpenView 是 管理 多 厂商 网 络 设备 和 


系统 的 战略 平台 ,通过 集成 多 厂商 网 络 设备 和 系统 管理 产品 ,为 用 户 的 网 络 、 系 
统 、 应 用 程序 和 数据 库 管 理 提供 了 统一 的 解决 方案 。 
2. HP OpenView 管理 框架 
HP OpenView 解决 方案 框架 为 最 终 用 户 和 应 用 程序 开发 商 提供 了 一 个 基于 通用 管理 过 
程 的 体系 结构 ， 可 为 用 户 提 供 集成 网 络 、 系 统 、 应 用 程序 和 适合 多 用 户 分 布 式 计算 环境 的 
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数据 库 管 理 。 第 三 方 的 解决 方案 可 以 很 容易 地 集成 到 OpenView 系统 框架 众 ， 为 用 户 和 应 
用 开发 商 提供 一 个 灵活 的 解决 方案 ， 以 适应 不 断 增长 的 、 多 厂商 产品 混杂 的 、 分 布 式 企业 
计算 环境 。OpenView 管理 框架 如 图 11-14 所 示 。 


Open SAP R/3 CiscoSystems Other 
Mail Management CiscoWorks Application 

1T IT HP PerfView 

Operation administration MeasuerWare 


HP NetMerix 
公共 管理 服务 或 平台 


| 拓扑 发现 | | 图 形 编辑 | | 事件 处 理 | 


被 管理 网 络 


图 11-14 HP OpenView 管理 框架 


HP OpenView 管理 框架 包括 以 下 4 个 部 件 。 

@ 用 于 网 络 管理 的 网 络 节点 管理 器 

@ 用 于 操作 和 故障 管理 的 IT/Operation 

@ 用 于 配置 和 变化 管理 的 IT/Administration 

@ 用 于 资源 和 性 能 管理 的 HP PrefView/MeasureWare 和 HP NetMerix 

3. Network Node Manager 

网 络 对 现代 企业 来 说 像 “ 血 脉 ”一样 重 要 。 一 旦 网 络 竣 痪 ， 后 果 不 塔 设想 。 所 以 ， 企 
业 必 须 主动 管理 网 络 ， 以 便 使 网 络 能 够 全 天 候 正 常 运作 ， 只 进行 被 动 的 网 络 管理 是 不 能 满 
足 可 用 性 要 求 的 。 同 时 ， 企 业 还 必须 管理 不 断 变化 的 技术 ， 不 断 适 应 网 络 的 动态 发 展 ， 并 
将 各 种 网 络 环境 集成 在 一 起 。HP OpenView 不 但 意识 到 了 这 些 问题 ， 还 开发 出 了 更 强大 的 
网 络 管理 器 (Network Node Manager，NNM) 来 解决 这 些 问题 。 这 种 先进 的 管理 解决 方案 
能 帮助 企业 主动 管理 网 络 环境 ， 并 不 断 扩展 和 更 新 基础 设施 。 

HP OpenView 的 NNM， 以 其 强大 的 功能 、 先 进 的 技术 和 多 平台 适应 性 等 特点 ， 在 全 
球 网 络 范围 领域 得 到 了 广泛 的 应 用 。NNM 是 HP OpenView 管理 框架 的 基石 ， 是 第 三 方 开 
发 和 发 布 网 络 管理 应 用 系统 的 网 络 管理 平台 , 也 是 最 终 用 户 监控 和 管理 TCP/IP 网 络 的 解决 
方案 。 无 论 是 一 个 小 的 工作 组 还 是 一 个 校园 网 ， 或 者 是 一 个 分 布 式 多 厂商 网 络 环境 的 大 型 
企业 网 ，NNM 都 能 以 高 度 的 自动 化 监控 整个 网 络 环境 。NNM 可 以 通过 人 P 地 址 、IPX 地 址 
和 MAC 地 址 发 现 网 络 设备 , 能 够 运行 SNMP、HTTP 协议 的 网 络 设备 或 Web 服务器。 NNM 
还 提供 了 一 个 图 形 界面 的 SNMP 管理 应 用 ， 能 够 支持 故障 管理 、 配 置 管理 和 性 能 管理 。 

NNM 是 HP OpenView 家 族 中 的 主力 网 络 管理 系统 软件 。NNM 的 分 布 式 与 监控 机 制 ， 
允许 把 处 理 程序 就 近 安装 于 用 户 所 处 环境 的 本 地 域 。 通过 部 署 多 套 NNM, 系统 管理 员 就 可 
以 通过 采集 器 与 管理 器 管理 企业 的 IT 环境 。 采 集 器 与 管理 器 均 可 使 用 全 版 NNM (不 限 管 
理 节 点 数 ) 或 简 版 NNM (不 超过 100 个 管理 节点 ) ， 这 样 一 个 可 伸缩 的 解决 方案 可 以 适应 
不 同 规模 网 络 与 组 织 需 要 ， 可 减少 网 络 流量 ， 从 而 最 大 限度 地 节约 网 络 带宽 ， 把 带宽 留 给 
真正 需要 传送 的 商用 信息 。NNM 可 以 成 功 地 监测 和 控制 计算 环境 , 它 还 可 以 提供 一 套 有 力 
的 工具 ， 以 便 管理 从 工作 组 到 整个 企业 的 分 布 式 多 厂商 的 网 络 与 系统 。NNM 可 以 用 来 处 理 
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各 种 技术 、 应 用 以 及 用 于 建立 现在 或 未 来 的 、 本 地 或 全 球 性 的 网 络 设备 。 它 能 够 为 用 户 节 
省 网 络 资产 ， 并 最 大 限度 地 利用 已 有 资源 。 


11.4 网 络 管理 技术 展望 


随 着 网 络 建设 的 初步 完成 ， 网 络 管理 已 成 为 当前 人 们 关注 的 重点 。 当 今 的 网 络 正在 向 
智能 化 、 综 合 化 和 标准 化 发 展 ， 同 时 ， 随 着 先进 的 计算 机 技术 不 断 涌现 ， 又 给 网 络 管理 提 
出 了 新 的 挑战 。 与 之 相 适应 ， 网 络 管理 技术 也 在 不 断 发 生 新 的 变化 ， 新 的 网 络 管理 技术 不 
断 推广 到 应 用 中 来 。 

11.4.1 网 络 管理 技术 的 发 展 


尽管 网 络 管理 技术 多 种 多 样 、 各 有 具 特色 ， 但 是 随 着 标准 化 活动 的 开展 及 系统 互联 的 需 
要 ， 网 络 管理 发 展 有 如 下 趋势 。 

1. 分 布 式 网 络 管理 

分 布 式 网 管 就 是 设立 多 个 域 管理 进程 ， 域 管理 进程 负责 管理 本 域 的 管理 对 象 ， 同 时 进 
程 间 进行 协调 和 交互 ， 以 完成 对 全 局 网 的 管理 。 这 样 ， 不 仅 减 少 中 央 网 管 的 负荷 ， 而 且 减 
少 了 网 管 信息 传递 的 时 延 ， 使 管理 更 为 有 效 。 

当前 ， 分 布 式 技术 主要 从 两 个 方面 进行 研究 ， 一 个 是 利用 CORBA 技术 ， 另 一 个 是 利 
用 移动 代理 技术 。 基 于 CORBA 技术 的 网 络 管理 ， 目 前 处 于 研究 阶段 ， 移 动 代理 技术 也 仅 
在 各 个 区 域 进行 研究 。 何 时 推 向 市 场 和 走 进 网 络 管理 应 用 还 是 个 未 知 数 。 

因此 , 在 未 来 的 近期 使 用 中 ， 可 采用 集中 分 布 式 的 网 络 管理 模型 ,具体 实现 管理 集中 、 
数据 采集 分 布 的 管理 功能 ， 即 一 个 管理 站 进行 数据 呈现 和 管理 ， 在 数据 采集 这 种 消耗 大 量 
内 存 和 占用 大 量 带宽 方面 采用 分 布 式 方法 获得 。 实 现 方法 为 管理 站 具有 分 发 代码 的 功能 ， 
在 网 络 层 发 现 网 关 后 ， 同 时 向 该 网 关 发 送 代码 实现 该 子 网 的 各 项 数据 采集 。 以 此 减轻 管理 
站 的 负担 和 减少 管理 端 网 络 拥塞 。 

2. 综合 化 网 络 管理 

随 着 网 络 管理 的 应 用 性 越 来 越 突 出 ， 各 种 各 样 的 网 络 管理 系统 便 应 运 而 生 。 这 种 管理 
系统 有 管理 SDH 网 络 的 ， 有 管理 卫 网 络 等 等 。 一 方面 ， 这 些 网 络 管理 系统 所 管理 的 网 络 
存在 互 连 或 互相 依赖 的 关系 ; 另 一 方面 存在 多 个 网 管 系统 ， 相 互 独立 ， 分 管 网 络 的 不 同 部 
分 ， 甚至 于 会 同时 存在 多 个 相同 内 容 的 网 管 系统 ， 它 们 来 自 多 个 三家， 分 别管 理 着 各 自 的 
设备 。 这 就 大 大 增加 了 网 络 管理 的 复杂 性 。 

像 网 络 电视 ， 它 就 需要 管理 几 个 方面 : 数字 干线 传输 、 光 缆 线 路 、 前 端 及 分 前 端 级 供 
电 房 供电 、 空 调 环境 的 监测 维护 、 数 据 库 及 数据 交换 信息 服务 、 前 端 节 目 源 及 视 、 音 频 设 
备 和 HFC 综合 接 入 网 等 。 这 些 被 管 对 象 作为 一 个 网 管 系统 的 被 管 对 象 是 不 实际 的 ， 因 为 
不 仅 设备 的 种 类 不 同 ， 而 且 其 特性 大 不 相同 ， 并 且 它 们 之 间 还 有 一 定 的 关系 ， 针 对 这 种 问 
题 ， 可 把 它们 分 割 为 不 同 的 网 管 系统 ， 然 后 在 高 层 采 用 一 个 综合 的 网 管 系统 〈Integrated 
Network Management System，INMS) ， 以 便于 管理 。 综 合 网 络 管理 系统 的 实现 有 两 种 方 
案 ， 一 种 是 针对 已 经 建立 起 的 各 个 专用 子 网 的 管理 系统 的 不 同情 况 ， 在 此 基础 上 建立 综合 
网 络 管理 系统 ， 另 一 种 是 直接 建立 一 个 综合 网 络 管理 系统 。 而 在 我 国 ， 网 络 电视 还 没有 成 
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熟 ， 所 以 宜 采 用 第 二 种 方法 ， 因 此 ， 未 来 的 网 络 管理 须 重点 向 综合 化 发 展 。 

3. 对 业务 的 监控 功能 

传统 网 管 都 是 针对 网 络 设备 的 管理 ， 并 不 能 直接 反映 出 设备 故障 对 业务 的 影响 。 目 前 
有 些 网 管 产品 已 经 实现 对 进程 的 监控 ， 但 是 有 些 服 务 ， 虽 然 服 务 已 经 终止 ， 但 是 进程 仍然 
存在 ， 并 不 能 明确 显示 对 服务 监控 。 对 于 客户 来 说 ， 他 们 注重 于 所 得 到 的 服务 ， 像 节目 的 
多 少 、 节 目的 质量 等 ， 因 此 ， 对 服务 、 业 务 的 监控 将 是 网 管 进一步 的 管理 目标 。 

4. 安全 性 

安全 问题 是 网 络 管理 面临 的 主要 挑战 ， 虽 然 网 管 有 5 大 功能 模块 ， 包 括 配置 管理 ， 但 
是 由 于 网 管 软件 多 是 采用 SNMP 协议 (SNMPv1，SNMPv2) 。 安 全 性 比较 薄弱 ， 所 以 基 
本 上 都 没有 配置 功能 。 而 最 新 的 SNMPv3 大 大 加 强 了 安全 性 ， 因 此 ， 对 SNMPv3 的 支持 ， 
也 是 网 管 软件 的 热点 技术 之 一 。 安 全 性 对 于 网 络 电视 来 说 尤其 重要 ， 不 仅 涉及 服务 提供 商 
的 利益 ， 也 涉及 客户 的 合法 利益 。 
11.4.2 ”基于 Web 的 网 络 管理 


传统 的 网 络 管理 系统 主要 着 重 于 网 络 管理 3 个 方面 的 功能 ， 即 性 能 管理 、 差 错 管理 和 
配置 管理 。 尽 管 这 3 个 方面 的 功能 已 经 涵盖 了 网 络 管理 员 所 关注 的 大 部 分 内 容 ， 但 是 迅速 
发 展 的 企业 网 络 已 经 提出 了 许多 现 有 的 中 心 网 络 管理 软件 所 不 能 实现 的 要 求 。 如 网 络 模式 
从 Client/Server 到 Intranet/Web， 网 络 远程 网 点 和 移动 用 户 在 不 断 增加 等 。 

基于 Web 的 网 络 管理 (WBM) 就 是 在 这 一 背景 下 发 展 起 来 的 ， 它 的 根本 点 在 于 允许 
通过 Web 浏览 器 进行 网 络 管理 。 一 方面 它 使 得 网 络 管理 人 员 不 再 拘泥 于 固定 的 网 络 管理 工 
作 站 ， 为 管理 提供 了 极 大 的 灵活 性 ; 另 一 方面 ,通过 Web 浏览 器 来 管理 网 络 解决 了 多 平台 
结构 产生 的 互 操作 性 问题 ， 再 有 ， 这 一 管理 方式 提供 了 良好 的 图 形 界 面 ， 降 低 了 操作 的 难 
度 ， 进 而 大 大 降低 了 管理 人 员 的 培训 费用 。 正 是 由 于 这 些 优 点 ， 基 于 Web 的 网 络 管理 方式 
越 来 越 流行 。 

目前 ， 基 于 Web 的 网 络 管理 主要 有 两 种 实现 方式 。 

@ 在 一 个 内 部 网 管 工 作 站 上 运行 web 服务 器 ， 用 户 通过 Web 浏览 器 与 网 管 工作 站 
通信 ， 网 管 工作 站 负责 与 各 被 管 节点 通信 ， 从 而 间接 地 实现 了 用 户 和 被 管 节点 之 间 管 理 
信息 的 交换 。 这 个 运行 了 Web 服务 器 的 工作 站 就 是 我 们 常 说 的 代理 。 代 理 使 用 简单 网 络 
管理 协议 (如 TCP/IP 的 SNMP) 收集 被 管 节点 的 信息 ， 代 理 与 Web 浏览 器 的 通信 使 用 
HTTP 协议 。 

@ 将 Web 功能 嵌入 到 网 络 设备 中 ， 换 言 之 ， 每 个 网 络 设备 都 有 自己 的 Web 地址， 网 
络 管理 员 可 直接 通过 Web 浏览 器 管理 这 些 节 点 。 很 明显 ， 所 有 的 管理 信息 都 是 利用 HTTP 
协议 传输 的 。 

代理 方式 适用 于 大 型 企业 ， 而 嵌入 式 方式 则 适用 于 小 型 办 公 室 网 络 环境 。 相 比 之 下 ， 
代理 方式 保留 了 原 有 的 基于 管理 工作 站 方式 的 所 有 优点 ,同时 由 于 引入 了 基于 Web 的 技术 ， 
为 网 络 管理 带 来 了 极 大 的 灵活 性 ;嵌入 式 方式 给 独立 的 网 络 设备 提供 了 图 形 化 的 管理 。 
11.4.3 ”基于 CORBA 的 网 络 管理 


1. CORBA 体系 结构 简介 
CORBA 是 Common Object Request Broker Architecture (公共 对 象 请 求 代理 体系 结构 ) 
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的 缩写 ,是 OMG 定义 的 软件 体系 结构 ， 而 不 是 一 种 具体 的 编程 语言 。 它 定义 了 一 套 协议 ， 
符合 这 个 协议 的 对 象 可 以 互相 交互 ， 不 论 它们 是 用 什么 样 的 语言 写 的 ， 也 不 论 它 们 运行 于 
什么 样 的 机 器 和 操作 系统 。CORBA 体系 结构 如 图 11-15 所 示 。 


GIOP/IOP ORB 核 


图 11-15 CORBA 体系 结构 
(1) 接口 定义 语言 (IDL) 

OMG IDL 是 描述 客户 对 象 的 调用 接口 和 对 象 实现 接口 的 一 种 语言 , 用 规定 的 语法 完整 
定义 了 服务 接口 。IDL 是 一 种 纯 描 述 语言 ， 不 具有 可 执行 性 ， 因 此 不 论 对 象 实现 〈Object 
Implementation ) 采用 何 种 语言 , 采用 何 种 平台 , 分 布 于 系统 的 哪个 位 置 , 客户 只 要 知道 IDL 
就 可 以 与 对 象 实现 进行 交互 。IDL 编译 器 将 IDL 文件 编译 成 对 应 编程 语言 的 程序 和 桩 构架 
程序 ， 实 现 对 具体 编程 语言 的 映射 。 

(2) 对 象 请 求 代理 (ORB) 

ORB 是 CORBA 的 核心 ， 为 客户 方 寻找 对 应 的 服务 方 ， 并 管理 服务 方 与 客户 方 之 间 的 
连接 ， 是 对 象 之 间 建 立 客户 /服务 器 关系 的 中 间 层 ， 作 用 类 似 于 对 象 总 线 。 通 过 ORB， 客 户 
可 以 透明 地 调用 在 某 个 服务 对 象 上 的 方法 ， 服 务 对 象 同 该 客户 既 可 以 在 同一 台 机 器 上 ， 也 

(3) 对 象 适 配器 (OA) 

OA 介 于 ORB 和 对 象 实现 之 间 ， 代 表 服 务 器 对 象 接受 服务 请 求 ， 为 实例 化 服务 器 对 象 
传递 请 求 ， 制 定 对 象 标识 ， 提 供 运 行 环境 。 其 工作 包括 产生 和 解释 对 象 引 用 、 方 法 的 调用 、 
交互 的 安全 性 、 对 象 实现 的 调用 和 撤销 、 将 引用 映射 成 对 象 实现 和 对 象 实现 的 注册 等 。 

(4) 桩 程序 和 构架 程序 

客户 方 的 桩 程序 负责 把 用 户 的 请 求 进行 编码 ， 发 送 到 对 象 实现 端 ， 并 对 接收 到 的 处 理 
结果 进行 解码 ， 将 结果 返回 给 用 户 。 服 务 方 的 构架 程序 对 用 户 请 求 进行 解码 ， 定 位 所 要 求 
的 对 象 方法 并 执行 ， 将 执行 结果 或 异常 信息 编码 后 送 回 用 户 。 

(5) ORB 间 的 互 操作 

CORBA2.0 增加 了 ORB 系统 间 互 操作 规范 ， 定 义 了 通用 ORB 间 通 信 协 议 (CGIOP) ， 
详细 规定 了 数据 编码 格式 、 传 输 消息 格式 和 对 传输 协议 的 要 求 ,提供 了 GIOP 到 TCP/IP 协 
议 的 映射 (IOP) ， 支 持 互 联网 上 不 同 ORB 产品 间 的 互 操作 ， 可 实现 Intemet/Intranet 网 络 
环境 下 基于 Web 的 应 用 操作 。 

2. CORBA 网 络 管理 的 特点 

CORBA 规范 所 遵循 的 面向 对 象 的 设计 思想 和 实现 方法 能 够 贯穿 网 络 管理 系统 从 设计 、 
实现 、 仿 真 、 应 用 和 维护 整个 生命 周期 ， 从 而 使 得 网 络 管理 系统 具有 更 强 的 可 扩展 、 可 重 
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用 性 ， 方 便于 系统 升级 改造 。CORBA 规范 实现 了 用 户 与 服务 器 的 完全 分 离 ， 使 得 基于 
CORBA 规范 开发 的 管理 代理 与 管理 器 之 间 只 要 遵从 相同 的 调用 接口 就 可 以 实现 开发 平台 
的 透明 性 、 操 作 系 统 的 透明 性 、 编 程 语言 的 透明 性 及 运行 状态 的 透明 性 ， 这 对 于 支持 异 构 
环境 的 计算 机 网 络 管理 系统 实现 有 着 极 大 的 吸引 力 。 

CORBA 技术 的 使 用 可 以 使 计算 机 网 络 管理 和 计算 机 系统 /服务 的 管理 基于 相同 的 支持 
平台 开发 ， 方 便 两 者 的 集成 。 

3. 基于 CORBA 的 综合 网 络 管理 体系 结构 

在 基于 CORBA 的 综合 网 络 管理 系统 中 ,CORBA 服务 在 网 络 管理 系统 和 被 管理 系统 之 
间 是 作为 中 间 件 , 整个 INMS 以 CORBA 体系 结构 为 基础 。CORBA 可 以 保证 INMS 跨 多 个 
网 络 管理 平台 ， 重 复 使 用 子 系统 的 被 管理 对 象 的 类 ， 而 且 可 以 集成 不 同 的 网 络 管理 协议 。 
因此 ， 综 合 网 络 管理 系统 是 一 个 十 分 庞大 的 处 理 系统 ， 它 除了 要 与 网 络 设备 打交道 以 外 ， 
还 要 处 理 本 地 用 户 和 远 地 用 户 发 来 的 网 络 管理 的 有 关 命令 ， 同 时 还 要 和 数据 库 进 行 交 互 。 
图 11-16 所 示 为 基于 CORBA 的 综合 网 络 管理 系统 结构 图 。 


图 11-16 综合 网 络 管理 系统 结构 


网 络 管理 应 用 程序 模块 是 根据 网 络 管理 不 同 功 能 的 需要 为 用 户 提供 不 同 应 用 。 网 络 管 
理应 用 程序 模块 中 分 性 能 管理 、 配 置 管理 、 故 障 管理 和 安全 管理 模块 。 操 作 员 发 来 操作 命 
令 ， 将 这 些 命令 根据 命令 的 具体 格式 分 解 成 以 上 的 用 户 命令 向 下 发 送 ， 同 时 根据 需要 访问 
数据 库 ， 从 数据 库 中 得 到 一 些 相关 的 数据 。 

网 关 接 口 模块 是 根据 上 层 用 户 程序 发 来 的 命令 转换 成 符合 SNMP，CMIP 原 语 的 形式 ， 
向 下 层 发 送 相应 的 原 语 命令 ， 并 将 返回 的 结果 通过 网 络 管理 应 用 程序 送 到 数据 库 中 。 它 是 
根据 API 来 进行 编程 实现 的 ， 通 过 这 些 API 和 网 络 设备 进行 交互 。 管 理 信 息 数据 库 模块 是 
用 来 存储 MIB 库 以 及 性 能 管理 、 配 置 管理 、 故 障 管理 和 安全 管理 的 数据 信息 。 

在 现代 通信 网 中 , 设备 管理 系统 的 软 、 硬件 具有 明显 的 分 布 式 和 异 构 性 , 而 CORBA 对 
系统 的 软 、 硬 件 平 台 不 能 提供 良好 的 支持 ， 因 此 能 很 好 地 适应 这 种 情况 。 而 且 ，CORBA 
屏蔽 了 底层 通信 的 细节 ， 使 开发 人 员 可 以 着 重 于 应 用 层 软 件 的 设计 和 开发 。 对 已 经 实现 的 
非 CORBA 网 络 管理 系统 ， 只 要 对 其 进行 对 象 抽象 建 模 ， 即 可 应 用 于 CORBA 系统 ， 大 大 
提高 了 代码 的 重用 率 。 因 此 ，CORBA 技术 为 实现 综合 网 络 管理 提供 了 科学 、 高 效 的 实现 
手段 ， 它 在 综合 网 络 管理 系统 中 已 得 到 广泛 的 应 用 。 
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11.4.4 ”基于 主动 网 的 网 络 管理 


1. 主动 网 络 的 概念 

主动 网 络 (Active Network) 是 美国 国防 部 高 级 研究 计划 署 (DARPA ) 于 1994 年 一 1995 
年 在 关于 未 来 网 络 系统 发 展 方向 的 讨论 中 提出 的 。 主 动 网 概念 的 提出 是 为 解决 网 络 技术 快 
速 发 展 所 带 来 的 问题 。 例 如 新 的 技术 和 标准 在 现 有 网 络 部 署 中 ， 需 漫长 的 标准 化 过 程 ， 无 
法 满足 新 业务 快速 变化 和 涌现 的 需求 ; 分 层 协议 的 元 余 带 来 的 性 能 低 效 ， 以 致 现 有 网 络 难 
以 引入 新 型 的 网 络 服务 ;网 络 服务 缺乏 定制 能 力 等 等 。 

主动 网 络 中 传输 的 分 组 不 仅 可 以 携带 用 户 的 数据 ， 而 且 可 以 携带 用 户 定制 的 一 段 程序 
代码 ， 使 得 分 组 在 经 过 网 络 节点 转发 处 理 时 ， 不 仅 识 别 头 部 标识 ， 而 且 可 以 通过 运行 分 组 
携带 的 代码 ， 来 修改 、 存 储 或 重 定向 网 络 中 的 数据 流 ， 为 分 组 的 转发 或 分 组 的 进一步 处 理 
是 出 建议 。 从 而 ， 将 传统 网 络 中 “存储 -转发 ”的 处 理 模 式 改变 为 “存储 -计算 -转发 ”的 处 
理 模 式 。 由 于 主动 网 增加 网 络 中 间 节 点 (路 由 器 或 交换 机 〉 的 计算 能 力 和 可 编程 能 力 ， 使 
得 网 络 能 够 根据 应 用 和 用 户 需 要 定制 分 组 转发 的 行为 。 

2. 主动 网 络 管理 

为 了 适应 主动 网 络 的 特点 , 主动 网 络 的 管理 模式 应 能 突破 传统 网 络 的 非 对 称 管理 模式 ， 
使 网 络 控制 与 管理 工作 站 及 主动 节点 之 间 达 到 一 
种 对 等 的 关系 , 从 而 克服 传统 网 络 管理 中 管理 端 出 
现 的 瓶颈 问题 ,也 便于 业务 的 动态 加 载 和 动态 MIB 
的 管理 与 维护 。 基 于 主动 网 络 的 管理 技术 是 将 主动 
网 络 与 网 络 管理 相 结合 的 新 型 网 络 管理 技术 , 势必 
将 加 大 网 络 管理 的 现代 化 进程 。 主动 网 络 管理 结构 动 结 点 
如 图 11-17 所 示 。 

在 主动 网 络 管理 ANM 系统 中 , 主动 节点 是 主 
动 网 管 所 要 管理 的 主动 对 象 。 主 动 节点 与 控制 管理 站 (ANMS ) 之 间 的 通信 是 一 种 对 等 的 
关系 ， 而 不 像 SNMP 中 客户 端 与 服务 端 之 间 的 非 对 等 关系 。 主 动 节点 是 网 管 系统 的 主要 管 
理 对 象 ， 负 责 处 理 主动 信和 包 ; 执行 环境 (EE) 提供 了 主动 管理 信 包 运行 和 处 理 所 必 需 的 环 
境 ; 主动 应 用 (AA) 则 执行 主动 管理 信和 包 中 的 代码 。 当 管理 节点 需要 执行 某 个 管理 任务 时 ， 
它 首 先 启动 相应 的 管理 程序 ， 该 管理 程序 创建 一 封装 体 报 文 ， 然 后 将 它 注入 到 网 络 中 。 封 
装 体 报 文 到 达 主 动 网 络 中 的 节点 时 ， 节 点 根据 管理 节点 发 出 和 管理 程序 中 的 策略 和 计算 规 
则 执行 相应 的 程序 ， 并 根据 程序 决定 下 面 的 动作 ， 通 过 调用 节点 操作 系统 OS 来 访问 各 种 
资源 来 实施 网 络 配置 管理 、 性 能 管理 和 故障 管理 等 功能 。 

主动 网 络 是 针对 传统 网 络 中 新 服务 实施 的 困难 提出 的 ， 它 增加 了 网 络 的 计算 能 力 ， 在 
网 络 的 中 间 节 点 提供 面向 用 户 的 编程 接口 ， 用 户 可 以 通过 编程 指定 节点 对 数据 的 处 理 。 这 
种 计算 是 基于 用 户 或 特定 应 用 的 ， 从 而 使 用 户 能 够 定制 自己 的 服务 ， 能 够 对 现 有 各 种 新 型 
应 用 提供 灵活 有 效 的 支持 ， 加 速 了 新 网 络 协 议和 用 户 服务 在 网 络 中 实施 和 推广 的 进程 。 


11.4.5 智能 化 的 网 络 管理 


1. 性 能 管理 、 故 障 管理 智能 化 
智能 化 实现 主要 是 通过 应 用 专家 系统 的 方法 ， 建 立 知识 库 和 推理 机 。 


主动 结 点 


图 11-17 主动 网 络 管理 的 系统 结构 
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采集 数据 监听 管理 设备 的 运行 情况 ， 收 集 管理 数据 ， 即 时 管理 数据 记录 一 些 重要 设备 
的 关键 性 管理 指标 ， 如 路 由 器 、 交 换 机 的 各 端口 的 输出 和 输入 的 错误 率 , IP、ICMP 和 UDP 
等 包 接收 数据 、 发 送 数 据 ，IP、ICMP 和 UDP 等 包 丢 失 率 。 

知识 库 包 括 事件 名 称 、 事 件 类 型 、 事 件 特征 和 处 理 方法 等 ， 其 中 事件 类 型 按 设备 分 为 
接 入 设备 、 线 路 、 实 时 和 统计 几 类 ; 事件 特征 包括 以 下 性 能 指标 。 

@ 路 由 器 性 能 指标 : 端 El 流量 、CPU 利用 率 、 内 存量 。 

@ 线路 性 能 指标 : 线路 流量 、 利 用 率 。 

@ 实时 性 能 指标 : 流量 、 丢 包 率 、 延 迟 、CPU 利用 率 、 内 存 余 量 。 

@ 统计 分 析 指 标 : 各 性 能 指标 按 不 同时 间 段 的 统计 数据 。 

知识 的 主要 来 源 有 两 种 ， 利 用 数据 挖掘 方法 对 即时 管理 数据 库 中 的 数据 进行 查找 ， 利 
用 知识 发 现 ， 查 找 出 其 中 一 些 规 律 的 现象 ， 添 加 入 知识 库 ， 另 一 种 是 管理 员 自 己 使 用 利用 
实际 经 验 将 事件 和 现象 归纳 成 事件 条 件 和 相应 性 能 值 ， 具 体 如 下 。 

e@ 静态 知识 : 根据 性 能 指标 的 标准 ， 如 根据 有 些 指标 的 上 下 阔 值 ， 并 将 这 些 翻 译 成 知 

识 库 的 事件 现象 条 件 ， 每 种 现象 可 能 对 应 一 个 或 几 个 事件 。 
@ 动态 知识 : 通过 数据 挖掘 ， 查 找 一 个 规律 性 的 现象 ， 由 此 形成 管理 知识 放 入 知识 


库 中 。 
@ 经 验 : 根据 实际 经 验 ， 网 络 管理 员 可 以 增加 一 些 具有 规律 性 的 现象 和 相应 有 效 的 处 
理 方法 。 


推理 机 根据 已 监测 收集 到 的 管理 数据 或 管理 员 的 管理 请 求 ， 利 用 知识 库 ， 综 合 分 析 找 
出 网 络 已 出 现 的 故障 ， 通 过 前 项 推理 和 后 项 推理 对 网 络 状态 进行 预测 和 网 络 故障 进行 诊断 
预测 ， 结 合 网 络 拓扑 图 和 网 络 配置 表 ， 定 位 故障 位 置 ， 并 给 出 处 理 故 障 的 参考 方案 。 系 统 
给 出 诊断 报告 ， 对 一 些 可 以 处 理 的 故障 ， 系 统 自动 执行 ， 可 以 立即 报警 或 发 邮件 、 写 入 日 
志文 件 等 方式 通知 管理 员 。 利 用 知识 库 对 性 能 指标 进行 评估 ， 可 以 用 图 形 界面 显示 或 通过 
邮件 发 给 管理 员 性 能 评估 报告 。 

2. 配置 管理 智能 化 

IP 地 址 的 分 配 是 一 个 十 分 烦琐 的 工作 ， 随 着 网 络 规范 的 扩大 ， 如 何 避 免 地 址 冲突 将 更 
加 困难 。 但 如 果 将 数据 库 管理 的 方法 引入 到 下 地 址 的 分 配 上 , 则 可 以 很 好 地 解决 这 个 问题 。 

(1) 卫 地 址 自动 分 配 管理 

分 配 、 查 询 和 修改 首先 建立 一 个 单位 卫 地 址 的 总 体 分 配 表 ， 通 过 这 个 表 确 定 什么 部 门 
或 办 公 地 点 分 配 什么 相应 的 网 段 。 另 外 通过 一 张 表 记录 已 分 配 地 址 和 未 分 配 的 地 址 。 这 样 
通过 输入 新 用 户 的 部 门 名 称 或 办 公 地 点 ， 系 统 可 以 自动 分 配 一 个 未 被 占用 的 卫 地 址 。 同 对 
任 一 已 用 的 了 瑟 地 址 ， 可 以 迅速 找 出 用 户 所 属 部 门 和 办 公 地 点 。 当 用 户 改变 办 公 地 点 或 离职 
而 不 需要 瑟 地 址 ， 系 统 可 收回 不 要 的 瑟 地 址 ， 并 重 分 配 新 的 瑟 地 址 。 

(2) IP 身份 认证 和 授权 与 控制 

在 局 域 网 上 经 常 出 现 用 户 非法 操作 ， 如 下 地址 的 盗用， 用户 在 网 络 上 非法 操作 等 ， 给 
管理 带 来 不 必要 的 麻烦 。 而 这 些 问 题 的 根源 是 没有 一 个 对 人 P 地 址 的 合法 性 的 有 效 控制 。 为 
了 实现 对 卫 地 址 合法 性 的 控制 , 可 以 将 他 地 址 与 用 户 信息 绑 定 , 如 MAC 地 址 、 用 户 名 等 ， 
可 在 已 用 卫 地 址 表 上 加 上 绑 定 信息 。 

@ SNMP 信息 (IP、MAC 地 址 、 端 口号 、 端 口 状况 和 设备 类 型 等 ) 
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e@ ”辅助 信息 (工作 地 点 、 用 户 名 、 系 、 电 话 号 码 ) 

@ 授权 控制 (操作 和 权限 》 

这 样 可 以 实时 对 用 户 身 份 的 合法 性 进行 检查 ， 同 时 对 用 户 在 网 上 的 操作 进行 监控 。 

用 户 登 录 时 必须 通过 身份 验证 ， 只 有 通过 了 身份 验证 才 有 权 上 网 ， 否 则 将 不 能 上 网 。 
之 后 ,不 同人 P 可 能 权限 不 同 ， 对 一 些 重要 信息 可 以 加 一 些 权限 控制 ， 实 现 自动 对 用 户 的 网 
络 使 用 灵活 授权 与 控制 。 

3. 计 费 管理 

对 网 络 资源 使 用 情况 进行 计 账 ， 自 动 监视 网 络 流量 异常 的 情况 。 因 为 病毒 或 黑客 的 攻 
击 ， 常 出 现 设备 某 端口 或 PC 上 的 流量 特别 大 ， 严 重 的 甚至 造成 整个 网 络 瘫痪 。 有 效 监 视 
网 络 流量 ,根据 标准 知识 库 发 现 异 常情 况 ， 自 动 报警 ， 可 帮助 管理 员 快 速 准确 地 找 出 问题 。 
结合 前 面 提 到 的 专家 系统 ， 可 以 给 出 问题 和 相应 的 解决 方案 。 

通过 建立 策略 库 和 网 络 资源 的 历史 记录 库 ， 对 网 络 信 息 进 行 不 同 的 收费 ， 如 不 同 段 ， 
不 同人 员 不 同 信息 ， 如 国内 与 国外 信息 不 同 ， 上 网 高 峰 时 与 平时 不 同 ， 来 调节 网 络 的 拥挤 
和 阻 寒 。 利用 他 地址 绑 定 的 方式 ， 防 止 IP 盗用 ， 保 证 记录 数据 的 真实 性 、 准 确 性 等 。 

由 于 网 络 管理 的 复杂 性 ， 建 立 一 个 综合 智能 化 程度 高 的 网 络 管理 系统 非常 必要 ， 这 样 
不 仅 可 降低 尺寸 ， 网 络 管理 员 的 要 求 减少 系统 使 用 的 培训 ,同时 可 提高 管理 的 效率 。 但 是 ， 
网 络 管理 是 一 项 复杂 的 工程 ， 真 正 完全 智能 化 网 络 管理 是 自动 定位 故障 并 自动 处 理 故 障 ， 
这 是 网 络 管理 发 展 的 目标 。 


11.5 网络 故 障 诊 断 与 排除 


现在 网 络 的 复杂 性 日 益 增 大 ， 多 种 协议 的 环境 正在 导致 越 来 越 多 的 问题 。 对 于 许多 机 
构 来 说 ， 互 联网 络 故障 排除 已 经 成 为 一 个 重要 的 课题 。 有 理由 认为 有 必要 采用 系统 的 方法 
来 解决 网 络 互联 过 程 中 出 现 的 问题 。 


11.5.1 使 用 系统 的 故障 排除 方法 


互联 网 络 发 生 故 障 所 造成 的 损失 可 能 是 灾难 性 的 。 修 复发 生 故 障 的 网 络 或 者 遭 破 坏 的 
网 络 给 网 络 工程 师 和 网 络 管 理 员 带 来 了 难以 想象 的 压力 。 在 这 种 情况 下 ， 使 用 特殊 的 专门 
技术 和 所 掌握 的 技巧 迅速 恢复 网 络 的 功能 是 非常 有 价值 的 。 

然而 ， 这 些 专门 技术 需要 深入 、 详 细 、 广 泛 地 掌握 互联 网 知识 。 孤 立 、 零 散 、 不 系统 
的 故障 排除 很 难 使 对 互联 网 知识 的 掌握 达到 如 此 的 深度 和 广度 。 

除非 已 经 知道 如 何 解决 问题 ， 和 否则 不 系统 的 故障 排除 方法 只 会 导致 在 网 络 故 障 现象 、 
互相 依赖 和 偶然 性 的 迷宫 中 浪费 时 间 。 相 反 ， 系 统 的 故障 排除 方法 ， 使 你 经 历 掌 握 详细 情 
况 、 分 析 可 能 原因 、 针 对 原因 采取 行动 和 观测 测试 结果 的 过 程 ， 这 有 助 于 你 详细 地 了 解 网 
络 迷 宫 。 故 障 排除 模型 的 总 体 思想 是 系统 地 将 由 故障 可 能 的 原因 所 构成 的 一 个 大 集合 缩减 
成 一 个 小 的 子 集 或 者 直接 确定 故障 起 因 。 然 后 ， 你 就 可 以 排除 故障 并 恢复 网 络 的 功能 。 问 
题解 决 之 后 ， 通 过 记录 该 事例 所 形成 的 系统 故障 排除 方法 有 助 于 汲取 、 保 存 和 交流 排除 故 
障 过 程 中 所 获得 的 经 验 。 

使 用 这 样 的 系统 故障 排除 模型 提高 了 机 构 的 专门 技术 ， 减 少 了 解决 今后 类 似 问题 所 花 
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费 的 时 间 。 提 高 专门 技术 和 协作 的 这 种 转变 可 以 减轻 支撑 关键 的 、 复 杂 的 互联 网 过 程 中 的 
工作 压力 。 


11.5.2 ”互联 网 络 的 复杂 性 


随 着 越 来 越 多 的 先进 技术 和 服务 引入 到 信息 处 理 和 通信 和 领域 之 中 ， 设 计 、 管 理 和 维护 
互联 网 络 的 工作 正 变 得 日 益 复杂 。 

历史 上 ， 网 络 体系 结构 是 以 主机 为 中 心 的 。 基 于 大 型 主机 的 体系 结构 随 着 客户 机 /服务 
器 范例 的 出 现 演变 成 为 分 布 式 处 理 系统 。 新 的 应 用 ， 如 视频 、 音 频 和 多 媒体 ， 正 越 来 越 普 
及 ， 而 且 由 于 客户 机 和 服务 器 中 处 理 器 运算 速度 的 提高 ， 这 些 应 用 是 可 行 的 。 其 结果 造成 
用 户 桌 面 系统 需要 高 速 的 连接 ， 如 专用 的 10 Mb/s 以 太 网 、100 Mb/s 以 太 网 、1000 Mb/s 光 
纤 分 布 式 数据 接口 或 更 高 ,为 了 适应 增 大 的 网 络 负荷 的 传输 ,通信 公司 正在 实现 诸如 ISDN、 
帧 中 继 和 ATM 的 业务 。 

多 种 多 样 的 专 有 协议 加 大 了 互联 网 络 的 复杂 性 。 国 际 标准 化 组 织 开 放 系 统 互 联 参 考 模 
型 的 目标 是 在 不 同 销售 商 的 系统 之 间 提 供 兼容 性 和 互 操作 性 。 在 理论 上 提供 共同 的 体系 结 
构 并 消除 互通 的 障碍 。 虽 然 许多 厂家 根据 七 层 OSI 模型 制定 其 协议 的 结构 ， 但 是 所 有 厂家 
的 产品 进行 无 缝隙 衔接 还 很 不 现实 。 

由 于 上 述 因 素 ， 当 今 的 互联 网 络 是 复杂 的 。 互 联网 络 已 成 为 协议 、 技 术 、 介 质 和 拓扑 
的 混合 体 。 复 杂 性 的 增加 造成 不 同 的 连接 行 问题 和 性 能 问题 有 可 能 出 现 。 不 同 的 问题 需要 
系统 的 故障 排除 模型 。 

11.5.3 ”故障 排除 模型 


现代 网 络 的 复杂 性 和 对 至 关 重 要 的 无 故障 运行 时 间 的 需求 增加 了 解决 连通 性 和 性 能 问 
题 的 压力 。 处 理 网 络 互联 问题 的 最 好 办 法 是 开发 一 个 标准 的 故障 排除 方法 学 。 图 11-18 提 
出 的 故障 排除 模型 是 这 种 方法 学 的 一 个 范例 。 故 障 排除 时 有 序 的 思路 有 助 于 解决 所 遇 到 的 
任何 问题 。 随 着 用 户 所 在 的 机 构 支 撑 其 互联 网 络 ， 该 模型 也 有 助 于 用 户 和 所 在 机 构 全 面 提 
高 专门 技术 。 


开始 一 | 详细 说 明 故 障 ] 
| 搜集 详细 情况 | 
分 析 可 能 原因 
| 制定 行动 计划 ] 


实施 行动 计划 


详细 说 明 故 障 


详细 说 明 故 障 


重复 故障 排除 
的 过 程 


图 11-18 故障 排除 模型 
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图 11-18 列 出 了 一 系列 步骤。 这 些 步骤 可 以 分 为 以 下 几 个 故障 排除 阶段 。 
Q@ 确保 具有 明确 的 、 充 分 的 问题 描述 。 

@ 全 面 搜集 相关 情况 并 分 析 可 能 的 原因 。 

@ 针对 可 能 性 最 大 的 原因 制定 和 实施 一 个 操作 计划 ， 然 后 观察 其 结果 。 
@ 如 果 故 障 现象 没有 排除 ， 尝 试 男 一 项 操作 计划 。 

@ 如 果 故 障 现象 消除 了 ， 记 录 并 整理 排除 故障 的 方法 。 


注意 : 这 个 故障 排除 模型 是 你 能 够 采用 的 许多 同类 模型 中 的 一 种 。 如 果 用 户 已 经 在 使 用 
另外 一 种 模型 , 则 应 该 继续 使 用 它 。 如 果 用 户 过 去 的 经 历 中 没有 系统 地 处 理 过 问 
题 或 没有 考虑 过 使 用 故障 排除 模型 ， 用 户 应 该 采纳 如 本 章 所 描述 的 一 种 方案 。 


11.5.4 故障 排除 步骤 
我 们 通过 一 个 示例 来 学 习 故 障 排除 的 各 个 步骤 。 
【 例 11-2】 网 络 故障 情况 如 图 11-19 所 示 ， 该 网 络 使 用 TCP/IP 协议 簇 , 而 且 发 生 了 
一 个 故障 。 故 障 现象 是 主机 1 和 主机 2 的 用 户 得 不 到 主机 A 或 主机 B 的 任何 响应 。 如 何 排 
除 这 种 故障 ? 


主机 A 


主机 B 


图 11-19 网 络 故障 排除 实例 


(1) 详细 说 明 故 障 

分 析 互联 网 络 故障 时 ， 按 照 一 组 故障 现象 及 相关 原因 详细 说 明 故 障 ， 以 便 对 故障 作 清 
晰 的 描述 。 参 照 为 网 络 制定 的 基准 指标 进行 故障 描述 。 做 这 项 工作 首先 要 观察 总 体 的 故障 
现象 ， 然 后 确定 可 能 有 哪儿 类 原因 会 导致 这 些 故障 现象 。 

下 面 是 主机 1 和 主机 2 通信 故障 可 能 的 原因 。 


Q 主机 1 和 主机 2 安装 的 网 卡 有 故障 。 

@ 主机 1 和 主机 2 需要 缺 省 网 卡 ， 但 是 没有 做 配置 。 

@ 主机 1 和 主机 2 或 路 由 器 X 中 存在 错误 配置 的 子 网 掩 码 。 

@ 网 络 R 连接 了 故障 的 设备 ， 它 在 以 太 网 电缆 上 导致 了 太 多 的 冲突 。 

@ 路 由 器 X 或 路 由 器 Y 访问 控制 表 配 置 不 正确 ， 导 致 来 自 受 影响 主机 的 数据 流 被 
阻塞 。 


@ 广域网 连接 发 生 故 障 。 

@ 路 由 器 没有 配置 有 效 的 协议 映射 声明 。 

主机 A 和 主机 B 没有 做 识别 主机 1 和 主机 2 的 配置 。 

也 许 还 有 其 他 可 能 的 原因 , 但 是 首先 应 该 注意 那些 被 认为 是 造成 故障 现象 的 主要 原因 。 
系统 的 故障 排除 方法 由 一 系列 步骤 组 成 。 这 些 步骤 中 的 第 一 组 步骤 是 一 定 要 清晰 、 充 
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分 地 说 明 故 障 ， 然 后 全 面 搜集 相关 的 详细 情况 。 在 最 终 用 户 报告 的 情况 是 重要 的 ;但 是 ， 
全 面 详 细 的 故障 描述 可 能 具有 更 广泛 的 基础 。 如 果 可 能 ， 根 据 关 于 自己 的 互联 网 络 的 知识 
继续 进行 下 去 , 并 尽力 自己 了 解 故障 。 进行 故障 描述 必须 参照 为 网 络 制定 的 各 项 基准 指标 。 
应 当知 道 当 网 络 按 照 预 期 的 状况 运行 时 ， 网 络 指示 器 的 显示 。 还 必须 知道 自 上 一 次 表现 出 
基准 性 能 以 来 ， 网 络 有 哪些 方面 发 生 了 改变 。 

(2) 搜集 详细 情况 

故障 排除 的 第 二 步骤 是 搜集 有 助 于 查找 故障 原因 的 详细 情况 。 向 受到 影响 的 用 户 、 网 
络 管理 员 、 经 理 和 网 络 所 涉及 的 其 他 关键 人 员 提 出 问题 。 尽 量 确定 是 否 有 人 知道 做 出 改动 
的 地 方 。 完 整地 记录 获得 的 全 部 信息 。 

分 析 故 障 时 ， 假 定 搜集 到 了 下 列 情况 。 

@ 主机 3 和 主机 4 能 够 与 主机 A 和 主机 B 通信 。 

@ 主机 1 和 主机 2 能够 与 主机 3 和 主机 4 通信 。 

@ 主机 1 能 够 与 主机 2 通信 。 

@ 为 了 识别 与 主机 1 和 主机 2 通信 ， 主 机 A 和 主机 B 进行 了 正确 的 配置 

(3) 分 析 可 能 性 

利用 用 户 搜集 的 数据 和 所 掌握 知识 及 关于 自己 的 互联 网 络 环境 中 其 他 设备 的 知识 ， 可 
以 确定 一 个 范围 ， 这 有 助 于 查找 故障 的 原因 。 通 过 划 定 范围 ， 用 户 只 需 注 意 与 某 一 故障 或 
故障 情况 相关 的 那 一 部 分 产品 、 介 质 和 主机 。 

根据 故障 示例 中 所 搜集 的 情况 能 够 排除 几 种 可 能 的 原因 。 

@ 主机 1 和 主机 2 安装 的 网 卡 有 故障 。 可 以 不 考虑 这 个 可 能 的 原因 ， 因 为 主机 1 和 主 
机 2 可 以 通信 。 

@ 主机 1 和 主机 2 需要 缺 省 网 关 ， 但 是 没有 做 配置 。 可 以 不 考虑 这 个 问题 的 原因 ， 因 
为 主机 1 和 主机 2 能 够 与 主机 3 和 主机 4 通信 。 

@ 主机 1 和 主机 2 或 路 由 器 X 中 存在 错误 配置 的 子 网 掩 码 。 可 以 不 考虑 这 个 可 能 的 
原因 ， 因 为 主机 1 和 主机 2 能 与 主机 3 和 主机 4 通信。 

图 网 络 R 连接 了 有 故障 的 设备 ， 它 在 以 太 网 电缆 上 导致 了 太 多 的 冲突 。 可 以 不 考虑 
这 个 可 能 的 原因 ， 因 为 主机 1 和 主机 2 能 够 与 主机 3 和 主机 4 通信。 而且 ， 主 机 1 和 主机 
2 可 以 通信 。 

@ 路 由 器 X 和 路 由 器 Y 访 问 控制 表 配 置 不 正确 ， 导 致 来 自 受 影响 主机 的 数据 流 被 阻 
塞 。 这 仍然 是 一 种 可 能 的 原因 ， 可 以 根据 所 搜集 这 个 原因 。 

@ 广域网 连接 发 生 故障 。 可 以 不 考虑 这 个 问题 的 原因 ， 因为 主机 3 和 主机 4 能 够 与 主 
机 A 和 主机 B 通信 。 

@ 路 由 器 没有 配置 有 效 的 协议 映射 声明 。 可 以 不 考虑 这 个 可 能 的 原因 ， 因为 主机 3 和 
主机 4 能 够 与 主机 A 和 主机 B 通信 。 

图 主机 A 和 主机 B 没有 做 识别 主机 1 和 主机 2 的 配置 。 可 以 不 考虑 这 个 可 能 的 原因 ， 
因为 为 了 识别 与 主机 1 和 主机 2 通信 ,主机 A 和 主机 B 进行 了 正确 的 配置 。 搜 集 情 况 时 我 
们 已 经 检查 了 这 项 内 容 。 

故障 的 范围 被 缩小 为 : 路 由 器 X 或 路 由 器 Y 中 配置 的 访问 控制 表 可 能 阻塞 了 到 达 / 来 
自主 机 1 和 主机 2 的 数据 流 。 
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(4) 制定 操作 计划 

根据 对 故障 示例 的 分 析 ， 已 经 确定 最 有 可 能 的 原因 是 某 个 路 由 器 中 访问 控制 表 配 置 不 
正确 ， 从 而 阻塞 了 到 达 /来 自主 机 1 和 主机 2 的 数据 流 。 

针对 这 种 原因 的 操作 计划 是 检查 每 台 路 由 器 当前 的 配置 ， 判 断 所 出 现 的 访问 控制 表 是 
否 正 确 。 

分 析 了 配置 之 后 ， 试 着 修复 配置 错误 的 访问 控制 表 或 者 暂时 禁用 访问 控制 表 。 


注意 : 切记 禁用 访问 控制 表 会 停止 访问 控制 表 提供 的 安全 功能 。 


(5) 实施 操作 计划 

具体 和 明确 地 制定 和 实施 操作 计划 是 非常 重要 的 。 操 作 计划 必须 确定 执行 的 一 组 步骤 ， 
而 且 每 个 步骤 必须 认真 更 改 各 个 变量 。 制定 还 原 的 计划 以 使 网 络 能 够 回 到 先前 已 知 的 状态 ， 
这 一 点 很 重要 。 

(6) 观察 操作 计划 的 结果 

对 结果 做 出 分 析 之 后 ， 必 须 判断 问题 是 否 已 得 到 解决 。 如 果 解 决 了 问题 ， 那 么 这 一 步 
就 是 故障 排除 模型 中 不 断 重 复 过 程 的 退出 点 。 如 果 问 题 未 得 到 解决 ， 则 必须 利用 这 些 结果 
更 好 地 调整 计划 ， 直 到 获得 了 适当 的 解决 办 法 。 

对 于 上 述 故 障 示例 ,对 一 个 变量 进行 操作 ， 即 重新 配置 了 访问 控制 表 或 暂时 禁用 了 它 ， 
并 观察 操作 结果 。 现在 主机 1 和 主机 2 能 够 访问 主机 A 和 主机 B 么 ? 如果 能 ， 则 问题 得 到 
了 解决 ， 诊 断 过 程 到 此 结束 。 然 而 ， 如 果 主 机 1 和 主机 2 仍 不 能 访问 主机 A 和 主机 B， 那 
么 必须 进行 下 一 步骤 。 

(7) 重复 故障 排除 的 过 程 

为 了 达到 模型 中 问题 /解决 办 法 重复 过 程 的 退出 点 ， 必 须 努 力 不 断 缩小 可 能 原因 的 范 
围 ， 直 到 只 有 一 个 原因 为 止 。 

所 以 ， 缩 小 了 可 能 原因 的 清单 之 后 〈 由 于 实施 前 面 的 操作 计划 并 观察 结果 ) ， 以 基于 
最 新 《缩小 了 或 扩大 了 ) 可 能 原因 清单 的 新 操作 计划 为 七 点 ， 重 复 这 个 故障 排除 的 过 程 。 
重复 这 一 过 程 直到 找到 了 解决 办 法 。 问 题 的 解决 可 能 需要 修改 主机 配置 、 路 由 器 或 介质 。 


注意 ; 取消 所 做 的 任何 无 效 的 “修复 ”是 非常 重要 的 。 一 次 只 修改 一 个 变量 。 而 且 ， 如 


果 在 网 络 中 一 次 做 太 多 的 修改 , 将 会 导致 网 络 性 能 和 策略 的 降低 。 这 就 是 制定 还 
原 计 划 以 取消 修改 并 将 网 络 恢复 到 先前 状态 的 重要 原因 。 


故障 排除 过 程 必须 反复 进行 直到 问题 得 到 解决 。 系 统 地 排除 每 一 种 可 能 的 原因 ， 直 到 
分 离 并 确定 故障 的 原因 ， 此 时 就 可 以 修复 故障 。 

(8) 排除 故障 

如 果 找 到 了 故障 的 真正 起 因 ， 就 可 以 完成 故障 的 排除 并 作文 字 记 录 。 然 而 ， 当 用 户 尽 
力 排除 网 络 故 障 时 ， 如 果 针 对 自己 的 网 络 环境 分 析 了 所 有 的 常见 原因 并 采取 了 所 有 的 一 般 
性 措施 ， 那 么 用 户 最 后 寻求 的 帮助 是 与 自己 的 路 由 器 技术 支持 代表 联系 。 应 该 就 故障 准备 
必要 的 情况 报告 ， 这 有 助 于 技术 支持 代表 判断 故障 可 能 的 原因 。 

本 示例 的 目标 之 一 就 是 以 最 少 的 网 络 停 用 时 间 和 外 部 干预 为 代价 ， 帮 助 用 户 涉及 自己 
的 进行 数据 搜集 、 故 障 排除 和 故障 预防 的 步骤 。 即 使 本 模型 中 不 断 重复 的 故障 排除 过 程 看 
上 去 很 费时 间 ， 但 是 随 着 你 的 故障 排除 技术 的 成 熟 ， 这 个 过 程 将 变 得 自然 而 然 ， 而 且 没 有 
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必要 一 步 一 步 地 严格 遵照 流程 图 进行 。 

一 旦 故障 现象 不 再 出 现 ， 则 故障 可 能 已 经 排除 。 无 论 何 时 都 需要 对 所 做 的 工作 进行 文 
字 记 录 ， 包 括 以 下 内 容 。 

@ 记录 采取 了 哪些 步骤 (例如 ， 你 是 否 请 其 他 人 参与 ， 如 本 机 构 中 的 其 他 工程 师 或 管 
理 员 ， 或 者 Cisco 技术 支持 中 心 ) 。 

@ 如 果 有 迹象 表明 必须 取消 已 采取 的 行动 ， 则 记录 还 原 迹 象 。 

@ 建立 历史 记录 ,便于 今后 参照 (例如 ， 帮 助 自己 回忆 、 帮 助 其 他 人 了 解 曾 经 发 生 过 
什么 故障 ) 。 这 项 记录 为 今后 解决 类 似 问 题 提供 了 便利 。 


11.5.5 ”故障 排除 


在 进行 故障 排除 、 查 明 故 障 原因 并 恢复 网 络 正常 运行 的 过 程 中 ， 用 户 运用 了 所 掌握 的 
关于 自己 网 络 的 专门 技术 。 为 了 有 效 地 进行 故障 排除 ， 必 须 充分 了 解 自 己 的 网 络 ， 而 且 能 
够 迅速 、 有 效 地 与 网 络 管理 所 涉及 的 关键 人 员 以 及 受 故 障 影响 的 人 员 进 行 沟通 。 

Q@ 你 持 有 自己 互联 网 络 精确 的 物理 连接 图 和 人 逻辑 连接 图 吗 ? 你 所 在 机 构 或 部 门 是 否 
持 有 最 新 的 简 述 网 络 中 所 有 设备 物理 位 置 和 连接 关系 的 互联 网 络 连接 图 以 及 描述 网 络 地 
址 、 网 络 号 和 子 网 等 数据 逻辑 连接 图 ? 

@ 你 持 有 自己 网 络 中 所 运行 的 全 部 网 络 协议 的 清单 吗 ? 对 于 每 一 种 运行 的 协议 , 你 是 
否 持 有 网 络 号 、 子 网 、 域 、 区 及 上 述 数 据 相 关内 容 的 清单 ? 

@ 你 知道 对 哪些 协议 进行 路 由 吗 ? 对 于 每 一 种 作 路 由 的 协议 ， 你 是 否 掌握 了 正确 的 、 
最 新 的 路 由 器 配置 ? 

@ 你 知道 对 哪些 协议 进行 桥接 吗 ? 在 这 些 网 桥 中 是 否 配置 了 过 滤器 , 你 了 解 这 些 配 置 
情况 吗 ? 

@ 包括 至 因特网 的 全 部 连接 在 内 , 你 知道 与 外 部 网 络 的 所 有 连接 点 吗 ? 对 于 每 一 条 外 
部 网 络 连接 ， 你 知道 采用 了 哪 一 种 路 由 协议 吗 ? 

@ 你 知道 自己 网 络 既定 的 基准 性 能 指标 吗 ? 你 所 在 的 机 构 是 否 记录 了 网 络 正常 的 状 
态 和 性 能 以 便 能 将 当前 的 故障 与 基准 性 能 进行 比较 ?网络 正 常 运行 时 你 所 预期 的 正常 基准 
活动 有 哪些 ? 自从 上 一 次 网 络 达到 基准 指标 以 后 ， 对 网 络 做 了 哪些 事情 、 增 加 了 哪些 新 设 
备 和 软件 、 重 新 做 了 哪些 配置 ? 

@ 故障 涉及 了 哪些 特殊 的 应 用 特性 和 数据 流传 需求 ? 哪些 过 去 的 故障 排除 事例 适用 
于 当前 的 情况 或 者 有 所 帮助 ? 

系统 的 故障 排除 方法 能 够 帮助 节省 在 复杂 的 、 相 互联 系 的 网 络 细节 迷宫 中 浪费 的 时 间 。 
由 于 网 络 是 机 构 中 的 战略 性 工具 ， 寻 找 捷径 是 很 实际 的 情况 。 这 些 捷径 往往 出 自 以 前 的 专 
门 技术 ， 而 这 些 专门 技术 则 可 能 从 系统 的 故障 排除 工作 获得 。 

如 果 你 已 经 掌握 了 一 种 得 心 应 手 的 系统 的 故障 排除 方法 ， 请 继续 使 用 它 对 网 络 作 故 障 
排除 。 然 而 ， 如 果 你 未 采取 系统 的 故障 排除 方法 ， 可 以 考虑 使 用 本 章 提出 的 那些 方法 。 


提示 : 为 了 增进 和 交流 在 网 络 故障 排除 过 程 中 学 到 的 知识 , 可 采用 对 故障 排除 的 详细 过 


程 作 记 录 的 方法 。 
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My 
陪 


说 WwwDP 一 


. 简单 介绍 网 络 管理 的 功能 。 

. 简单 网 络 管理 协议 SNMP 的 作用 是 什么 ? 

. 简单 描述 HP OpenView 的 管理 框架 。 

. 列举 5 个 常见 的 网 络 管理 系统 。 

. 分 析 本 章 介 绍 的 网 络 管理 系统 的 特点 以 及 优 劣 性 。 
. 简单 描述 网 络 故障 诊断 流程 。 

. 简单 描述 网 络 故障 排除 过 程 。 
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教学 提示 

计算 机 网 络 是 信息 社会 的 基础 ， 已 经 进入 社会 的 各 个 角落 。 然 而 网 络 本 身 的 开放 性 、 
跨国 界 等 特性 ， 在 给 人 们 带 来 便利 的 同时 ， 也 带 来 了 不 容 忽 视 的 安全 问题 。 网 络 的 安全 问 
题 正面 临 着 日 益 严 峻 的 威胁 。 

本 章 主要 介绍 网 络 安全 的 基本 概念 ,分 析 了 Internet 中 存在 的 主要 安全 隐患 及 常见 的 威 
胁 与 攻击 。 从 技术 角度 较 深 入 探讨 了 计算 机 网 络 的 安全 防范 措施 。 并 根据 网 络 安 全 的 特点 
讲述 了 防火 墙 技 术 、 入 侵 检测 技术 等 内 容 。 
教学 重点 

网 络 安 全 是 一 个 综合 学 科 领 域 ， 涉 及 数学 、 电 子 、 通 信和 计算 机 等 诸多 学 科 知 识 。 网 
络 安全 研究 的 内 容 很 多 ， 涉 及 安全 体系 结构 、 安 全 协议 、 密 码 理论 、 安 全 监控 和 应 急 措施 
等 ， 其 中 密码 技术 是 网 络 安全 的 关键 技术 ,防火墙 技术 是 保护 计算 机 网 络 安 全 的 最 成 熟 、 
最 早产 品 化 的 技术 措施 ， 入 侵 检测 是 对 防火 墙 及 其 有 益 的 补充 ， 能 够 帮助 网 络 系统 快速 发 
现 网 络 攻击 ， 扩 展 了 系统 管理 员 的 安全 管理 能 


12.1 网 络 安全 基础 


网 络 安全 泛 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 受 偶然 的 或 者 恶 
意 的 原因 而 遭 到 破坏 、 更 改 和 泄漏 。 系 统 连续 可 靠 正常 地 运行 ， 网 络 服 务 不 被 中 断 。 

网 络 安全 的 内 容 包括 了 系统 安全 和 信息 安全 两 个 部 分 。 系 统 安全 主要 指 网 络 设备 的 硬 
件 、 操 作 系 统 和 应 用 软件 的 安全 ; 信息 安全 主要 指 各 种 信息 的 存储 、 传 输 的 安全 ， 具 体 体 
现在 保密 性 、 完 整 性 及 不 可 抵赖 性 上 。 

12.1.1 网络 安全 的 组 成 


从 内 容 上 讲 ， 网 络 安 全 大 致 包括 4 个 方面 。 

(1) 网 络 实体 安全 

保证 网 络 系统 各 种 设备 的 物理 安全 是 整个 网 络 系 统 安全 的 前 提 。 网 络 实体 安全 是 指 在 
物理 媒介 层次 上 对 存储 和 传输 的 信息 加 以 保护 , 它 是 保护 计算 机 网 络 设备 、 设施 免 遭 地 震 、 
水 灾 和 火灾 等 环境 事故 以 及 人 为 操作 错误 或 各 种 计算 机 犯罪 行为 而 导致 破坏 的 过 程 。 

(2) 软件 安全 

保护 网 络 系统 不 被 非法 侵入 ， 系 统 软件 与 应 用 软件 不 被 非法 复制 、 算 改 和 不 受 病毒 的 
侵害 等 。 

(3) 数据 安全 

保护 数据 不 被 非法 存 取 ， 确 保 其 完整 性 、 一 臻 性、 机密 性 等 。 

(4) 安全 管理 
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运行 时 突 发 事件 的 安全 处 理 等 ， 包 括 计 算 机 安全 技术 ， 建 立 安全 管理 制度 ， 开 展 安全 
审计 ， 进 行 风 险 分 析 等 。 

从 特征 上 看 ， 网 络 安全 包括 5 个 基本 要 素 如 下 。 

e@ 机 密 性 : 确保 内 容 不 暴露 给 未 授权 的 实体 。 

@ 完整 性 : 只 有 得 到 允许 的 人 才能 够 修改 数据 ， 并 能 判别 数据 是 否 已 被 算 改 。 

e@ 可 用 性 : 得 到 授权 的 实体 在 需要 时 可 以 访问 数据 ， 即 攻击 者 不 能 占用 所 有 资源 阻碍 

授权 者 工作 。 
@ 可 控 性 : 可 以 控制 授权 范围 内 的 信息 流向 以 及 行为 方式 。 
@ 可 审查 性 : 对 出 现 的 网 络 安全 问题 提供 调查 的 依据 和 手段 。 


12.1.2 ”影响 网 络 安全 的 因素 


1. 网 络 系统 自身 的 脆弱 性 

所 谓 系 统 的 脆弱 性 是 指 系统 的 硬件 资源 、 通 信 资 源 、 软 件 及 信息 资源 等 ， 因 可 预见 或 
不 可 预见 甚至 恶意 的 原因 ， 导 致 系统 受到 破坏 、 汇 漏 和 功能 失效 ， 从 而 使 网 络 处 于 异常 状 
态 ， 甚 至 导致 月 淡 、 瘫 痪 等 。 计 算 机 网 络 本 身 由 于 系统 主体 和 客体 的 原因 存在 不 同 程度 的 
脆弱 性 。 

(1) 硬件 系统 

网 络 硬 件 系统 的 安全 隐患 主要 来 源 于 设计 ， 主 要 表现 为 物理 安全 方面 的 问题 。 各 种 计 
算 机 或 者 网 络 外 围 设 备 ， 除 了 难以 抗拒 的 自然 灾害 外 ， 温 度 、 湿 度 、 项 电 和 电磁 场 等 都 有 
可 能 造成 信息 的 泄漏 或 损坏 。 

(2) 软件 系统 

软件 系统 的 安全 隐患 来 源 于 设计 和 软件 工程 中 的 问题 。 软 件 设计 中 的 疏忽 可 能 留 下 安 
全 漏洞 ， 比 如 前 一 段 的 “冲击 波 ” 病 毒 就 是 针对 操作 系统 的 漏洞 实施 攻击 ;软件 设计 不 按 
照 信息 系统 安全 等 级 进行 模块 化 设计 ， 导 致 软件 的 安全 等 级 不 能 达到 要 求 的 等 级 ， 软 件 工 
程 实现 中 造成 的 软件 系统 内 部 逻辑 错误 等 等 。 软 件 系统 的 安全 隐患 主要 表现 在 操作 系统 、 
数据 库 系 统 和 应 用 软件 上 。 

(3) 网 络 和 通信 协议 

目前 网 络 中 普遍 实用 的 TCP/IP 协议 架构 未 能 全 面 考虑 安全 问题 , 不 能 提供 人 们 所 需要 
的 安全 性 和 保密 性 。 

尽管 TCP/IP 经 历 了 一 次 又 一 次 的 改版 、 升 级 , 但 因 协 议 本 身 的 不 足以 及 在 修订 中 考虑 
到 软件 可 继承 性 等 原因 ， 仍 然 未 能 彻底 解决 其 自身 的 安全 性 问题 。 主 要 包括 如 下 。 

@ 缺乏 用 户 身份 鉴别 机 制 
缺乏 路 由 协议 鉴别 机 制 
缺乏 保密 性 
TCP/UDP 的 缺陷 
TCP/IP 服务 的 脆弱 性 

2. 安全 威胁 

安全 威胁 是 指 某 个 人 、 物 、 事 件 或 概念 对 某 一 资源 的 机 密 性 、 完 整 性 、 可 用 性 或 合法 
性 所 造成 的 危害 。 安 全 威胁 可 分 为 故意 威胁 (如 黑客 渗透 ) 和 偶然 威胁 〈 如 信息 被 发 往 错 
误 的 地 址 ) 两 类 。 故 意 威胁 又 可 进一步 分 为 被 动 威胁 和 主动 威胁 两 类 。 
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(1) 基本 威胁 

网 络 安全 的 基本 目标 是 实现 信息 的 机 密 性 、 完 整 性 、 可 用 性 和 合法 性 。4 个 基本 的 安 
全 威胁 直接 反映 了 这 4 个 安全 目标 。 一 般 认 为 ， 目 前 网 络 存在 的 威胁 主要 表现 如 下 。 

e@ 信息 泄漏 或 丢失 

这 是 针对 信息 机 密 性 的 威胁 ， 它 指 敏感 数据 在 有 意 或 无 意 中 被 泄漏 出 去 或 丢失 ， 它 通 
常 包括 : 信息 在 传输 中 丢失 或 泄漏 《如 “黑客 ” 们 利用 电磁 泄漏 或 搭 线 窃 听 等 方式 可 截获 
机 密 信息 ， 或 通过 对 信息 流向 、 流 量 、 通 信 频 度 和 长 度 等 参数 的 分 析 ， 推 出 有 用 信息 ， 如 
用 户口 令 、 账 号 等 重要 信息 ) ; 信息 在 存储 介质 中 丢失 或 泄漏 ; 通过 建立 隐蔽 通道 等 窃取 
敏感 信息 等 。 

e@ 破坏 数据 完整 性 

以 非法 手段 窃 得 对 数据 的 使 用 权 ， 删 除 、 修 改 、 插 入 或 重 发 某 些 重要 信息 ， 以 取得 有 
益 于 攻击 者 的 响应 ， 恶 意 添 加 、 修 改 数据 ， 以 干扰 用 户 的 正常 使 用 。 

e@ 拒绝 服务 

它 不 断 对 网 络 服务 系统 进行 干扰 ， 改 变 其 正常 的 作业 流程 ， 执 行 无 关 程序 使 系统 响应 
减 慢 甚 至 瘫痪 ， 影 响 正常 用 户 的 使 用 ， 甚 至 使 合法 用 户 被 排斥 而 不 能 进入 计算 机 网 络 系统 
或 不 能 得 到 相应 的 服务 。 

e@ 非 授 权 访问 

没有 预先 经 过 同意 就 使 用 网 络 或 计算 机 资源 被 看 作 非 授权 访问 ， 如 有 意 避 开 系 统 访问 
控制 机 制 ， 对 网 络 设备 及 资源 进行 非 正 常 使 用 ， 或 擅自 扩大 权限 ， 越 权 访问 信息 。 它 主要 
有 以 下 儿 种 形式 : 假冒 、 身 份 攻击 、 非 法 用 户 进 入 网 络 系统 进行 违法 操作 、 合 法 用 户 以 未 
授权 方式 进行 操作 等 。 

(2) 渗入 威胁 和 植 入 威胁 

在 基本 威胁 中 ， 目 前 常见 的 可 以 实现 的 威胁 主要 包括 两 类 : 渗入 威胁 和 植 入 威胁 。 渗 
入 威胁 主要 有 : 假冒 、 旁 路 控制 和 授权 侵犯 。 植 入 威胁 主要 有 : 特洛伊 木马 、 陷 门 。 

@ 渗入 威胁 

假冒 这 是 大 多 数 黑客 采用 的 攻击 方法 。 某 个 未 授权 实体 使 守卫 者 相信 它 是 一 个 合法 
的 实体 ， 从 而 搜 取 该 合法 用 户 的 特权 。 

旁 路 控制 : 攻击 者 通过 各 种 手段 发 现 本 应 保密 却 又 暴露 出 来 的 一 些 系统 “特征 ”。 利 
用 这 些 “ 特 征 ”， 攻 击 者 绕 过 防线 守卫 者 渗入 系统 内 部 。 

授权 侵犯 : 也 称 为 “内 部 威胁 ”， 授 权 用 户 将 其 权限 用 于 其 他 未 授权 的 目的 。 

@ 植 入 威胁 

特洛伊 木马 : 攻击 者 在 正常 的 软件 中 隐藏 一 段 用 于 其 他 目的 的 程序 ， 这 段 隐藏 的 程 
序 段 常 常 以 安全 攻击 作为 其 最 终 目 标 。 例 如 ， 一 个 外 表 上 具有 合法 目的 的 软件 应 用 程序 ， 
如 文本 编辑 器 ， 它 还 具有 一 个 暗藏 的 目的 ， 就 是 将 用 户 的 文件 复制 到 另 一 个 秘密 文件 中 ， 
这 种 应 用 程序 称 为 特洛伊 木马 ， 此 后 ， 植 入 特洛伊 木马 的 那个 人 就 可 以 阅读 该 用 户 的 文 
件 了 。 

陷 门 : 陷 门 是 在 某 个 系统 或 某 个 文件 中 设置 的 “机 关 ”， 使 得 在 提供 特定 的 输入 数据 
时 ， 人 允许 违反 安全 策略 。 例 如 ， 一 个 登录 处 理子 系统 允许 处 理 一 个 特定 的 用 户 识别 码 ， 以 
绕 过 通常 的 口令 检查 。 
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(3) 潜在 威胁 

对 各 种 类 型 的 安全 威胁 进行 分 析 ， 可 以 发 现 某 些 特定 的 潜在 威胁 ， 而 任意 一 种 潜在 威 
胁 都 可 能 导致 发 生 一 些 更 基本 的 威胁 。 例 如 ， 如 果 考 虑 信息 泄露 这 种 基本 威胁 ， 我 们 有 可 
E 找 出 以 下 儿 种 潜在 威胁 : 窍 听 、 通 信 量 分 析 、 人 员 朴 忽 和 媒体 清理 。 图 12-1 给 出 了 一 些 
典型 的 威胁 以 及 它们 之 间 的 相互 关系 。 


通信 量 分 析 E 特洛伊 木马 
电磁 /射频 截获 旁 路 控制 陷 门 
人 员 朴 忽 授权 侵犯 业务 欺骗 
媒体 清理 物理 侵入 


图 12-1 典型 的 潜在 威胁 及 其 相关 关系 


12.1.3 ”网 络 安全 服务 


1. 保密 性 

保密 性 是 指 网 络 信息 不 会 泄漏 给 未 授权 的 用 户 、 实 体 或 过 程 ， 即 相关 信息 只 被 侵权 用 
户 使 用 。 根 据 发 布 消息 的 内 容 不 同 ， 可 以 使 用 几 个 不 同 的 保护 级 别 。 最 广泛 的 保密 服务 是 
保护 两 个 用 户 之 间 在 一 段 时 间 内 传送 的 所 有 数据 。 例 如 ， 如 果 在 两 个 系统 之 间 建 立 虚 电路 ， 
这 种 广泛 的 保护 可 以 防止 任何 用 户 在 虚 电 路 上 传送 的 数据 被 泄漏 。 这 种 保留 服务 更 严密 的 
形式 包括 对 一 条 消息 或 消息 中 特定 的 域 的 保护 。 

保密 性 的 另 一 方面 是 保护 通信 流 ， 以 防止 被 分 析 。 这 就 要 求 攻 击 者 看 不 到 通信 设备 上 
通信 流 的 来 源 和 目的 地 、 频 率 、 长 度 或 其 他 特性 。 

数据 保密 性 服务 实现 的 主要 手段 包括 以 下 几 方 面 。 

(1) 物理 保密 

利用 各 种 物理 方法 ， 如 限制 、 隔 离 、 拖 项 和 控制 等 措施 ， 保 护 信 息 不 被 泄漏 。 

(2) 防 窃听 

使 对 手 侦 听 不 到 有 用 的 信息 。 

(3) 防 辐射 

防止 有 用 的 信息 以 及 各 种 途径 辐射 出 去 。 

(4) 信息 加 密 

在 密 钥 的 控制 下 ， 用 加 密 算法 对 信息 进行 加 密 处 理 。 即 使 对 手 得 到 了 加 密 后 的 信息 ， 
也 会 因为 没有 密 钥 而 无 法 读 懂 有 效 信息 。 
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2. 身份 验证 

身份 验证 (也 称 身份 鉴别 服务 的 目的 在 于 保证 消息 的 可 靠 性 。 在 只 有 一 条 消息 的 情 
况 下 ， 验 证 服务 的 功能 就 是 要 保证 信息 接收 方 接收 的 信息 确实 是 从 它 声明 的 来 源 发 出 的 。 
在 进行 交互 的 过 程 中 ， 如 果 终 端 连接 到 主机 上 ， 需 要 涉及 两 个 方面 。 首 先 ， 在 连接 的 初始 
化 阶段 ， 此 服务 应 保证 两 个 实体 的 可 靠 性 〈 每 个 实体 都 是 所 声明 的 实体 ) ; 其 次 ， 此 服务 
还 应 保证 第 三 方 不 能 靠 伪装 成 两 个 合法 实体 之 一 来 干扰 连接 ， 执 行 未 授权 的 传送 或 接收 。 

实现 身份 认证 的 主要 方法 包括 口令 、 数 字 证 书 和 基于 生物 特征 (比如 指纹 、 声 音 和 虹 
膜 等 ) 的 认证 等 。 

3. 完整 性 

完整 性 是 网 络 信息 未 经 授权 不 能 进行 改变 的 特性 ， 即 网 络 信息 在 存储 或 传输 过 程 中 保 
持 不 被 偶然 或 故意 地 添加 、 删 除 、 修 改 、 伪 造 、 乱 序 和 重 放 等 操作 破坏 和 丢失 的 特征 。 完 
整 性 是 一 种 面向 信息 的 安全 性 ， 它 要 求 保持 信息 的 原样 ， 即 信息 的 正确 性 生成 ， 正 确 存储 
和 正确 传输 。 

完整 性 与 保密 性 不 同 ， 保 密 性 要 求 信息 不 被 泄漏 给 未 授权 的 人 ， 而 完整 性 则 要 求 信息 
不 受到 各 种 原因 的 破坏 。 影 响 网 络 信息 完整 性 的 主要 因素 是 设备 故障 、 误 码 〈 传 输 、 处 理 
或 存储 过 程 中 产生 的 误 码 , 定时 的 稳定 度 或 精度 降低 造成 的 误 码 , 各 种 干扰 源 造 成 的 误 码 )、 
人 为 攻击 和 计算 机 病毒 等 。 

保障 网 络 信 息 完整 性 的 主要 方法 有 如 下 儿 种 。 

@ 良好 的 协议 : 通过 各 种 安全 协议 可 以 有 效 地 检测 出 被 复制 的 信息 ， 被 删除 的 字段 ， 

失效 的 字段 和 被 修改 的 字段 。 

@ 密码 校 验 和 : 它 是 抗 自 改 和 防止 传输 失败 的 重要 手段 。 

@ 数字 签名 : 保障 信息 的 真实 性 ， 保 证 信息 的 不 可 抵赖 性 。 

@ 公证: 请 求 网 络 管理 或 中 介 机 构 证 明 信 息 的 真实 性 。 

4. 不 可 抵赖 性 

不 可 抵赖 性 是 指 防止 发 送 方 或 接收 方 否 认 消 息 的 发 送 或 接收 。 当 消息 发 出 时 ， 接 收 方 
可 以 证 实 消息 确实 是 从 声明 的 发 送 方 发 出 。 与 此 类 似 ， 当 接收 到 消息 时 ， 发 送 方 也 能 证 实 
消息 确实 由 声明 的 接收 方 接受 了 。 

实现 不 可 抵赖 性 的 主要 手段 有 数字 签名 等 方法 。 

5. 访问 控制 

在 网 络 安全 环境 中 , 访问 控制 能 够 限制 和 控制 通过 通信 链 路 对 主机 系统 和 应 用 的 访问 。 
为 了 达到 这 种 控制 ， 每 个 想 获得 访问 的 实体 都 必须 经 过 鉴别 或 身份 验证 ， 这 样 才 能 根据 个 
体 来 制定 访问 权利 。 

访问 控制 主要 有 3 种 类 型 :自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访问 控制 。 

6. 可 用 性 

一 般 地 ， 可 用 性 是 指 当 用 户 需要 使 用 网 络 时 ， 网 络 能 够 及 时 地 提供 服务 。 

可 用 性 是 网 络 信息 可 被 授权 实体 访问 并 按 需 求 使 用 的 特性 , 即 网 络 信息 服务 在 需要 时 ， 
允许 授权 用 户 或 实体 使 用 的 特性 ， 或 者 是 网 络 部 分 受 损 或 需要 降低 使 用 时 ， 仍 能 为 授权 用 
户 提 供 有 效 服务 的 特性 。 可 用 性 是 网 络 信息 系统 而 向 用 户 的 安全 性 能 。 网 络 信息 系统 最 基 
本 的 功能 是 向 用 户 提供 服务 。 而 用 户 的 需求 是 随机 的 、 多 方面 的 ， 有 时 还 有 时 间 要 求 。 可 
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用 性 一 般 用 系统 正常 使 用 时 间 和 整个 工作 时 间 之 比 来 度量 。 

可 用 性 通过 以 下 手段 来 保证 。 

e@ 身份 的 识别 与 确认 : 一 般 通过 用 户 名 和 密码 进行 识别 。 

@ 访问 控制 : 对 用 户 的 权限 进行 控制 ， 只 能 访问 相应 权限 的 资源 ， 防 止 或 限制 经 隐蔽 
通道 的 非法 访问 。 

e@ 业务 流 控 制 : 利用 均 分 负荷 方法 ， 防 止 业务 流量 过 度 集中 而 引起 网 络 阻塞 ， 如 大 型 
的 ISP《〈 因 特 网 服务 提供 者 ) 提供 的 电子 邮件 服务 ， 一 般 都 有 几 个 邮件 服务 器 进行 
负载 均衡 。 

e 路 由 选择 控制 : 选择 那些 稳定 可 靠 的 子 网 、 中 继 线 或 链 路 等 。 

e 审计 跟踪 : 把 网 络 信息 系统 发 生 的 所 有 安全 事件 情况 存储 在 安全 审计 跟踪 之 内 ， 以 
便 能 够 根据 日 志 分 析 原 因 ， 分 清 责 任 ， 并 且 及 时 采取 相应 的 措施 。 

12.1.4 ”安全 评估 准则 


一 个 安全 产品 的 购买 者 怎样 才能 知道 产品 的 设计 是 否 足 够 安全 和 适当 呢 ? 为 了 帮助 计 
算 机 用 户 区 分 和 解决 计算 机 网 络 安全 问题 ， 不 同 的 组 织 各 自制 定 了 一 套 安全 评估 准则 。 一 
些 重 要 的 安全 评估 准则 如 下 。 
美国 国防 部 和 国家 标准 技术 研究 所 的 可 信 计 算 机 系统 评估 准则 (TCSEC) 
e@ 欧洲 共同 体 的 信息 技术 安全 评测 准则 (ITSEC) 
@ 国际 标准 ISO/IEC 15408 (CC) 
@ 美国 信息 技术 安全 联邦 准则 (FC) 


12.2 ”加 密 与 认证 技术 


计算 机 技术 和 微 电 子 技术 的 发 展 为 密码 学 理论 的 研究 和 实现 提供 了 强 有 力 的 手段 和 工 
具 。 密 码 学 已 渗透 到 雷达 、 导 航 、 遥 控 、 通 信 、 电 子 邮 政 、 计 算 机 、 人 金融 系统 、 各 种 管理 
信息 系统 甚至 家 庭 等 各 部 门 和 领域 ， 也 不 仅仅 是 单纯 为 了 “保密 ”， 还 有 认证 、 数 字 签 名 
等 新 功能 。 

数据 加 密 是 计算 机 网 络 安全 很 重要 的 一 个 部 分 。 由 于 因特网 本 身 的 不 安全 性 ， 我 们 不 
仅 对 口令 进行 加 密 ， 有 时 也 对 在 网 上 传输 的 文件 进行 加 密 。 为 了 保证 电子 邮件 的 安全 ， 人 
们 采用 了 数字 签名 这 样 的 加 密 技 术 ， 并 提供 基于 加 密 的 身份 认证 技术 。 数 据 加 密 也 使 电子 
商务 成 为 可 能 。 

12.2.1 密码 算法 与 密码 体制 

密码 学 是 保密 学 的 一 部 分 。 保 密 学 是 研究 密码 系统 或 通信 安全 的 科学 ， 它 包含 两 个 
分 支 : 密码 学 和 密码 分 析 学。 密码 学 是 对 信息 进行 编码 实现 隐蔽 信息 的 一 门 学 问 。 密 码 
分 析 学 是 研究 分 析 破 译 密码 的 学 问 。 两 者 相互 独立 ， 而 又 相互 促进 ， 正 如 病毒 与 反 病毒 
技术 一 样 。 

采用 密码 技术 可 以 隐藏 和 保护 需要 保密 的 消息 ， 使 未 授权 者 不 能 提取 信息 。 需 要 隐藏 
的 消息 称 为 明文 。 明 文 被 变换 成 男 一 种 隐蔽 形式 就 称 为 密 文 。 这 种 变换 称 为 加 密 。 加 密 的 
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逆 过 程 ， 即 从 密 文 恢复 出 明文 的 过 程 称 为 解密 。 对 明文 进行 加 密 时 采用 的 一 组 规则 称 为 加 
密 算 法 。 对 密 文 解密 时 采用 的 一 组 规则 称 为 解密 算法 。 加 密 算法 和 解密 算法 通常 都 是 在 一 
组 密 钥 控 制 下 进行 的 ， 密 钥 决 定 了 从 明文 到 密 文 的 映射 ， 加 密 算法 所 使 用 的 密 钥 称 为 加 密 
密 钥 ,解密 算法 所 使 用 的 密 钥 称 为 解密 密 钥 。 

密码 体制 通常 从 以 下 3 个 独立 的 方面 进行 分 类 。 

@” 按 明文 到 密 文 的 转换 操作 可 分 为 置换 密码 和 易 位 密码 。 

@” 按 明文 的 处 理 方法 可 分 为 分 组 密码 和 序列 密码 。 

e@ 按 密 钥 的 使 用 个 数 可 分 为 对 称 密码 体制 和 非 对 称 密码 体制 。 


12.2.2 ”对 称 加 密 算法 


1. 对 称 加 密 算 法 概述 

如 果 发 送 方 使 用 的 加 密 密 钥 和 接收 方 使 用 的 解密 密 钥 相同 ， 或 者 从 其 中 一 个 密 钥 易 于 
得 出 男 一 个 密 钥 ， 这 样 的 系统 就 叫做 对 称 的 、 单 密 钥 或 常规 密码 系统 。 

对 称 加 密使 用 单个 密 钥 对 数据 进行 加 密 或 解密 ， 其 特点 是 计算 量 小 、 加 密 效率 高 。 但 
是 此 类 算法 在 分 布 式 系统 上 使 用 较为 困难 ， 主 要 是 密 钥 管理 困难 ， 从 而 使 用 成 本 较 高 、 安 
全 性 能 也 不 易 保 证 。 这 类 算法 的 代表 是 在 计算 机 网 络 系统 中 广泛 使 用 的 DES 算法 。 

2. 对 称 加 密 算法 基本 原理 

图 12-2 是 对 称 密码 系统 模型 ， 其 显示 了 对 称 密码 系统 的 加 密 、 解 密 过 程 。 最 初 的 可 理 
解 的 消息 M 称 为 明文 , 发送 者 将 明文 转换 为 人 们 不 能 直接 理解 的 无 规则 和 无 意义 的 密 文 C。 
加 密 器 利用 密 钥 K 作用 于 明文 ， 产 生 密 文 C。 密 钥 独立 于 明文 ， 对 于 相同 的 明文 ， 不 同 
的 密 钥 产生 的 密 文 。 可 将 这 个 过 程 表示 如 下 。 


C=Ex(C) 


产生 密 文 之 后 ， 该 密 文 就 能 够 用 于 传输 。 在 接收 方 ， 使 用 解密 器 和 相同 的 密 钥 K， 密 
文 C 能 被 恢复 为 最 初 的 明文 。 这 个 过 程 可 表示 如 下 。 


M=D(C) 


et 
图 12-2 ”对称 密 码 系统 模型 


对 于 分 析 者 来 说 ， 可 以 得 到 加 密 、 解 密 算 法 和 从 不 安全 信道 上 得 到 密 文 C， 而 不 能 得 
到 的 是 通过 安全 信道 传输 的 密 钥 K。 这 样 ， 对 称 密码 必须 满足 如 下 要 求 。 

e 算法 要 足够 强大 。 

e 不 依赖 于 算法 的 保密 ， 而 依赖 于 密 钥 。 这 就 是 著名 的 Kerckhoff 原则 。 

@” 密 钥 空 间 要 足够 大 ， 且 加 密 和 解密 算法 适用 于 密 钥 空间 所 有 的 元 素 。 

这 也 是 非 对 称 密码 技术 必须 满足 的 条 件 。 除 此 之 外 ， 在 实际 运用 中 ， 发 送 方 和 接收 方 
必须 保证 用 安全 的 方法 获得 密 钥 的 副本 。 
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3. 常用 的 对 称 加 密 算 法 

目前 经 常 使 用 的 一 些 对 称 加 密 算法 有 数据 加 密 标准 (DES) 、TDEA、RC5 和 国际 数据 
加 密 算法 (DEA) 等 。 

(1) DES 

DES 是 美国 国家 标准 和 技术 局 (NIST) 在 1977 年 采用 的 数据 加 密 标准 , 文献 号 为 FIPS 
PUB 46。 算法 本 身 称 为 DEA (数据 加 密 算法 ) 。DES 是 最 常用 的 对 称 加 密 算法 ， 几 乎 是 事 
实 上 的 国际 标准 。DES 的 密 钥 长 度 为 56 位 ， 分 组 长 度 为 64 位 。DES 曾 被 人 利用 网 络 计算 
采用 穷 举 攻击 的 方法 破解 过 , 目前 也 已 经 设计 出 采用 穷 举 攻击 在 4 小 时 内 破解 DES 的 机 器 。 
DES 本 身 虽 已 不 再 安全 ， 但 其 改进 算法 的 安全 性 还 是 相当 强 的 。 

(2) TDEA 

TDEA (三 重 DEA, 或 称 3DES) 最 初 是 由 Tuchman 提出 的 ， 在 1985 年 的 ANSI 标准 
X9.17 中 第 一 次 为 金融 应 用 进行 了 标准 化 。1999 年 ，TDEA 合并 到 数据 加 密 标准 中 ， 文 献 
号 为 FIPS PUB 46-3。TDEA 使 用 3 个 密 钥 ， 并 执行 3 次 DES 算法 。TDEA 的 密 钥 长 度 是 
168 比特 , 这 就 克服 了 DES 不 能 抵制 穷 举 攻击 的 弱点 。TDEA 的 缺点 是 软件 实现 相对 缓慢 。 

(3) RC5 

RC5 是 由 Ron Rivest( 公 钥 算 法 RSA 的 创始 人 之 一 ) 在 1994 年 开发 出 来 的 。 其 前 身 
RC4 的 源 代码 在 1994 年 9 月 被 人 匿名 张贴 到 因特网 上 , 汇 嚣 了 RCA 的 算法 ,RC5 是 在 RFC 
2040 中 定义 的 , RSA 数据 安全 公司 的 很 多 产品 都 已 经 使 用 了 RC5。RC5 的 分 组 长 度 和 密 钥 
长 度 都 是 可 变 的 ， 可 以 在 速度 和 安全 性 之 间 进 行 折 中 。 

(4) IDEA 

IDEA 是 在 1991 年 由 瑞士 联邦 技术 协会 的 Xuejia Lai 和 James Massey 开发 的 。IDEA 
以 64 位 的 明文 块 进行 分 组 ， 密 钥 长 度 为 128 位 ， 主 要 采用 异 或 、 模 加 和 模 乘 3 种 运算 ， 容 
易 用 软件 和 硬件 实现 。IDEA 算法 被 认为 是 当今 已 公开 的 最 好 最 安全 的 对 称 分 组 密码 算法 。 


12.2.3 ” 公 钥 加 密 算法 


1. 公 钥 加 密 算法 概述 

如 果 发 送 方 使 用 的 加 密 密 钥 和 接收 方 使 用 的 解密 密 钥 不 相同 ， 从 其 中 一 个 密 钥 难 以 推 
出 另 一 个 密 钥 ， 这 样 的 系统 就 叫做 非 对 称 的 、 双 密 钥 或 公 钥 密码 系统 。 

非 对 称 型 加 密 算 法 的 特点 是 有 两 个 密 钥 〈 即 公用 密 钥 和 私有 密 钥 ) ， 只 有 二 者 搭配 使 
用 才能 完成 加 密 解密 的 全 过 程 。 由 于 非 对 称 算法 拥有 两 个 密 钥 ， 它 特别 适用 于 分 布 式 系统 
中 的 数据 加 密 ， 在 因特网 中 得 到 广泛 应 用 。 其 中 公用 密 钥 在 网 上 公布 ， 供 发 送 方 对 数据 加 
密 时 使 用 。 而 用 于 解密 的 相应 私有 密 钥 则 由 数据 的 接受 方 妥善 保管 。 非 对 称 加 密 的 男 一 用 
法 是 “数字 签名 ”， 用 于 防止 通信 一 方 的 抵赖 行为 。 在 网 络 系统 中 得 到 应 用 的 非 对 称 加 密 
算法 有 RSA 算法 和 美国 国家 技术 标准 研究 所 提出 的 数字 签名 算法 DSA。 非 对 称 加 密 在 分 
布 式 系统 中 应 用 时 需 注意 的 问题 是 如 何 管理 和 确认 公用 密 钥 的 合法 性 。 

2. 公 钥 加 密 算法 基本 原理 

公开 密 钥 密码 系统 的 理论 基础 是 数论 。 在 公开 密 钥 算法 中 ， 加 密 /解密 是 整个 算法 方案 
的 核心 。Diffie 和 Hellman 设想 出 了 这 个 系统 ,但 是 却 没有 表明 这 种 算法 的 存在 性 ， 他 们 给 
出 了 一 个 公开 密 钥 密码 系统 必须 满足 的 条 件 如 下 。 

通信 双方 A 和 B 容易 产生 出 一 对 密 钥 〈 公 钥 KU， 私 钥 KR) 。 
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在 知道 公 钥 KU 和 待 加 密 报 文 M 的 情况 下 ， 对 于 发 送 方 A， 很 容易 通过 计算 产生 对 应 
的 密 文 如 下 。 


C= Ex (M) 
接收 方 B 使 用 私有 密 钥 容易 通过 计算 解密 所 得 的 密 文 ， 以 便 恢复 原来 的 报 文 。 
M = Dixa(O) = DrrlExr(M)] 


除 A 和 B 以 外 的 其 他 人 即使 知道 公 钥 KU， 要 确定 私 钥 KR 在 计算 上 也 是 不 可 行 的 。 
除 A 和 B 以 外 的 其 他 人 即使 知道 公 钥 KU 和 密 文 C, 要 想 恢复 原来 的 明文 M 在 计算 上 也 是 
不 可 行 的 。 这 些 要 求 最 终 可 以 归结 到 设计 一 个 单 向 陷 门 函 数 (Trapdoor One-way Function ) 。 
单 向 函数 (One-way Function) 是 满足 下 列 条 件 的 函数 : 它 将 一 个 定义 域 映射 到 值 域 ， 
使 得 每 个 函数 值 有 一 个 唯一 的 原 像 ， 函 数值 计算 很 容易 ， 而 逆 计 算是 不 可 行 的 。 

在 密码 学 中 ，“ 容 易 ” 是 指 一 个 问题 可 以 在 多 项 式 函数 时 间 内 解决 ， 这 个 多 项 式 函数 
是 输入 长 度 的 函数 。 不 可 行 是 指 将 一 个 问题 的 工作 量 作为 一 个 函数 的 输入 ， 函 数值 的 增长 
速度 超过 多 项 式 时 间 。 
单 向 陷 门 函数 ， 即 除非 知道 某 种 附加 的 信息 ,否则 这 样 的 函数 在 一 个 方面 上 容易 计算 ， 
而 在 另外 的 方向 上 的 计算 是 不 可 行 的 。 有 了 附加 的 信息 ， 函 数 的 逆 就 可 以 在 多 项 式 时 间 内 
计算 出 来 ， 即 有 如 下 式 子 。 


了 AtC0 容易 , 知道 了 上 入 


= 广 *(D 容易 ,知道 了 上 和 了 


革 =/ x(Y) 不 可 行 ， 如 果 知道 了 而 不 知道 

3. 常用 公 钥 加 密 算法 

公 钥 密码 体制 的 设计 比 对 称 密码 体制 的 设计 具有 更 大 的 挑战 性 。 因 为 公 钥 算法 是 公开 
的 ， 这 为 攻击 者 提供 了 一 定 的 信息 。 目 前 公 钥 体制 的 安全 基础 主要 是 数学 中 的 难 解 问题 。 
最 流行 的 有 两 大 类 ， 一 类 基于 大 整数 因子 分 解 问题 ， 如 RSA 体制 ， 另 一 类 基于 离散 对 数 问 
题 ， 如 Elgamal 体制 、 椭 圆 曲线 密码 体制 等 。 

大 多 数 公 钥 密 码 体 制 都 会 涉及 高 次 蝴 运 算 ， 不 仅 加 密 速度 慢 ， 而 且 会 占用 大 量 的 存 
储 空间 。 目 前 许多 商业 产品 采用 的 公 钥 算法 还 有 Diffie-Hellman 密 钥 交 换 、 数 字 签 名 标准 
DSS 等 。 

(1) RSA 

RSA 公 钥 体制 是 1978 年 由 Rivest，Shamir 和 Adleman 三 个 人 提出 的 一 个 公开 密 钥 密 
码 体制 ，RSA 就 是 以 其 发 明 者 的 首 字母 命名 的 。RSA 体制 被 认为 是 迄今 为 止 理论 上 最 为 成 
熟 完善 的 一 种 公 钥 密码 体制 。 该 体制 的 构造 基于 Euler 定理 ， 它 利用 了 如 下 的 基本 事实 。 
寻找 大 素数 是 相对 容易 的 ， 而 分 解 两 个 大 素数 的 积 在 计算 上 是 不 可 行 的 。 

RSA 算法 的 安全 性 建立 在 难以 对 大 数 提取 因子 的 基础 上 。 所 有 已 知 的 证 据 都 表明 ， 大 
数 的 因子 分 解 是 一 个 极其 困难 的 问题 。 
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与 对 称 密码 体制 如 DES 相 比 ，RSA 的 缺点 是 加 密 、 解 密 的 速度 太 慢 。 因 此 ，RSA 体 
制 很 少 用 于 数据 加 密 ， 而 多 用 在 数字 签名 、 密 钥 管 理 和 认证 等 方面 。 

(2) Elgamal 公 钥 体制 

1985 年 ，El Gamal 构造 了 一 种 基于 离散 对 数 的 公 钥 密码 体制 ， 这 就 是 Elgamal 公 钥 体 
制 。Elgamal 公 钥 体制 的 密 文 不 仅 依赖 于 待 加 密 的 明文 ， 而 且 依 赖 于 用 户 选择 的 随机 参数 ， 
即使 加 密 相 同 的 明文 ， 得 到 的 密 文 也 是 不 同 的。 由 于 这 种 加 密 算法 的 非 确 定性 ， 又 称 其 为 
概率 加 密 体制 。 在 确定 性 加 密 算法 中 ， 如 果 破 译 者 对 某 些 关键 信息 感 兴趣 ， 则 他 可 事先 将 
这 些 信息 加 密 后 存储 起 来 ， 一 旦 以 后 截获 密 文 ， 就 可 以 直接 在 存储 的 密 文 中 进行 查找 ， 从 
而 求 得 相应 的 明文 。 概 率 加 密 体制 弥补 了 这 种 不 足 ， 提 高 了 安全 性 。 

与 婚 能 作 公 钥 加 密 又 能 作 数 字 签 名 的 RSA 不 同 , Elgamal 公 钥 体制 是 在 1985 年 仅 为 数 
字 签 名 而 构造 的 签名 体制 。 美 国标 准 技术 研究 所 采用 修改 后 的 Elgamal 签名 体制 作为 数字 
签名 体制 标准 。 破 译 Elgamal 签名 体制 等 价 于 求解 离散 对 数 问题 。 

(3) 背包 公 钥 体制 

它 是 1978 年 由 Merkle 和 Hellman 提出 的 。 背 包 算 法 的 思路 是 假定 某 人 拥有 大 量 的 物 
品 ， 重 量 各 不 相同 。 此 人 通过 秘密 地 选择 一 部 分 物品 并 将 它们 放 到 背包 中 来 加 密 消 息 。 背 
包 中 的 物品 总 重量 是 公开 的 ， 所 有 可 能 的 物品 也 是 公开 的 ， 但 背包 中 的 物品 却 是 保密 的 。 
附加 一 定 的 限制 条 件 ， 给 出 重量 ， 而 要 列 出 可 能 的 物品 ， 在 计算 上 是 不 可 实现 的 。 这 就 是 
公开 密 钥 算 法 的 基本 思想 。 
12.2.4 ”数字 信封 与 数字 签名 技术 


1. 数字 信封 的 概念 

数字 信封 是 公 钥 密码 体制 在 实际 中 的 一 个 应 用 ， 是 用 加 密 技术 来 保证 只 有 规定 的 特定 
收 信人 才能 阅读 通信 的 内 容 。 

在 数字 信封 中 ， 信 息 发 送 方 采用 对 称 密 钥 来 加 密 信息 内 容 ， 然 后 将 此 对 称 密 钥 用 接收 
方 的 公开 密 钥 来 加 密 〈 这 部 分 称 数字 信封 ) 之 后 ,将 它 和 加 密 后 的 信息 一 起 发 送 给 接收 方 ， 
接收 方 先 用 相应 的 私有 密 钥 打开 数字 信封 ， 得 到 对 称 密 钥 ， 然 后 使 用 对 称 密 钥 解 开 加 密 信 
息 。 这 种 技术 的 安全 性 相当 高 。 数 字 信封 主要 包括 数字 信封 打包 和 数字 信封 拆 解 ， 数 字 信 
封 打 包 是 使 用 对 方 的 公 钥 将 加 密 密 钥 进行 加 密 的 过 程 ， 只 有 对 方 的 私 钥 才能 将 加 密 后 的 数 
据 〈 通 信 密 钥 ) 还 原 ;数字 信封 拆 解 是 使 用 私 钥 将 加 密 过 的 数据 解密 的 过 程 。 

数字 信封 的 功能 类 似 于 普通 信封 ， 普 通信 封 在 法 律 的 约束 下 保证 只 有 收 信人 才能 阅读 
信 的 内 容 ， 数 字 信封 则 采用 密码 技术 保证 了 只 有 规定 的 接收 入 才能 阅读 信息 的 内 容 。 数 字 
信封 中 采用 了 对 称 密码 体制 和 公 钥 密码 体制 。 信 息 发 送 者 首先 利用 随机 产生 的 对 称 密码 加 
密 信息 , 再 利用 接收 方 的 公 钥 加 密 对 称 密码 , 被 公 钥 加 密 后 的 对 称 密码 被 称 之 为 数字 信封 。 
在 传递 信息 时 ， 信 息 接收 方 若 要 解密 信息 ， 必 须 先 用 自己 的 私 钥 解密 数字 信封 ， 得 到 对 称 
密码 ， 才 能 利用 对 称 密码 解密 所 得 到 的 信息 。 这 样 就 保证 了 数据 传输 的 真实 性 和 完整 性 。 

2. 数字 签名 的 概念 

数字 签名 ， 就 是 通过 在 数据 单元 上 附加 数据 ， 或 对 数据 单元 进行 秘密 变换 ， 从 而 使 接 
收 者 可 以 确认 数据 来 源 和 完整 性 。 简单 说 来 , 数字 签名 是 防止 他 人 对 传输 的 文件 进行 破坏 ， 
以 及 确定 发 信人 的 身份 的 手段 。 

目前 的 数字 签名 是 建立 在 公共 密 钥 体制 基础 上 , 它 是 公用 密 钥 加 密 技术 的 另 一 类 应 用 。 
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它 的 主要 方式 是 报 文 的 发 送 方 从 报 文 文本 中 生成 一 个 128 位 的 散 列 值 〈 又 称 报 文摘 要 ， 数 
字 指 纹 ) 。 发 送 方 用 自己 的 私人 密 钥 对 这 个 散 列 值 进行 加 密 来 形成 发 送 方 的 数字 签名 。 然 
后 ， 这 个 数字 签名 将 作为 报 文 的 附件 和 报 文 一 起 发 送 给 报 文 的 接收 方 。 报 文 的 接收 方 首 先 
从 接收 到 的 原始 报 文中 计算 出 128 位 的 散 列 值 ， 接 着 再 用 发 送 方 的 公用 密 钥 来 对 报 文 附加 
的 数字 签名 进行 解密 。 如 果 两 个 散 列 值 相同 ,那么 接收 方 就 能 确认 该 数字 签名 是 发 送 方 的 。 
通过 数字 签名 能 够 实现 对 原始 报 文 的 鉴别 。 

采用 数字 签名 ， 能 确认 以 下 两 点 : 第 一 ， 信 息 是 由 签名 者 发 送 的 ; 第 二 ， 信 息 自 签发 
后 到 收 到 为 止 未 曾 作 过 任何 修改 。 这 样 数字 签名 就 可 用 来 防止 电子 信息 因 易 被 修改 而 有 人 
作伪 ， 或 冒 用 别人 名 义 发 送信 息 。 或 发 出 〈 收 到 ) 信件 后 又 加 以 否认 等 情况 发 生 。 应 用 广 
泛 的 数字 签名 方法 主要 有 三 种 ， 即 RSA 签名 、DSS 签名 和 Hash 签名 。 这 三 种 算法 可 单独 
使 用 ， 也 可 综合 在 一 起 使 用 。 

3. 数字 签名 的 传输 过 程 

对 电子 文件 进行 数字 签名 并 在 网 上 传输 ， 其 技术 实现 过 程 大 致 如 下 : 首先 要 在 网 上 进 
行 身 份 认证 ， 然 后 再 进行 签名 ， 最 后 是 对 签名 的 验证 。 

(1) 认证 

PKI 提供 的 服务 首先 是 认证 ， 即 身份 识别 与 鉴别 ， 确 认 实 体 即 为 自己 所 声明 的 实体 。 
认证 的 前 提 是 甲乙 双方 都 具有 第 三 方 CA 所 签发 的 证 书 ， 认 证 分 单 向 认证 和 双向 认证 。 
单 向 认证 是 甲乙 双方 在 网 上 通信 时 ， 甲 只 需要 认证 乙 的 身份 即 可 。 这 时 甲 需要 获取 乙 
的 证 书 ， 获 取 的 方式 有 两 种 ， 一 种 是 在 通信 时 乙 直 接 将 证 书 传送 给 甲 ， 另 一 种 是 甲 向 CA 
的 目录 服务 器 查询 索取 。 甲 获得 乙 的 证 书后 ， 首 先 用 CA 的 根 证 书 公 钥 验 证 该 证 书 的 签名 ， 
验证 通过 说 明 该 证 书 是 第 三 方 CA 签发 的 有 效 证 书 。 然 后 检查 证 书 的 有 效 期 及 检查 该 证 书 
是 否 已 被 作废 (LRC 检查 ) 而 进入 黑 名 单 。 

双向 认证 。 双 向 认证 是 甲乙 双方 在 网 上 通信 时 ， 甲 不 但 要 认证 乙 的 身份 ， 乙 也 要 认证 
甲 的 身份 。 其 认证 过 程 与 单 向 认证 过 程 相同 。 

(2) 数字 签名 与 验证 过 程 

网 上 通信 的 双方 ， 在 互相 认证 身份 之 后 ， 即 可 发 送 签名 的 数据 电文 。 数 字 签 名 的 全 过 
程 分 两 大 部 分 ， 即 签名 与 验证 。 即 发 方 将 原文 用 哈 希 算法 求 得 数字 摘要 ， 用 签名 私 钥 对 数 
字 摘 要 加 密 得 数字 签名 ， 发 方 将 原文 与 数字 签名 一 起 发 送 给 接受 方 ; 收 方 验证 签名 ， 即 用 
发 方 公 钥 解密 数字 签名 ， 得 出 数字 摘要 ; 收 方 将 原文 采用 同样 哈 希 算法 又 得 一 新 的 数字 摘 
要 ， 将 两 个 数字 摘要 进行 比较 ， 如 果 二 者 匹配 ， 说 明 经 数字 签名 的 电子 文件 传输 成 功 。 

数字 签名 原理 中 定义 的 是 对 原文 做 数字 摘要 和 签名 并 传输 原文 ， 在 很 多 场合 传输 的 原 
文 是 要 求 保 密 的 ， 要 求 对 原文 进行 加 密 的 数字 签名 方法 如 何 实现 ? 这 里 就 要 涉及 “数字 信 
封 ” 的 概念 。“ 电 子 信封 ”基本 原理 是 将 原文 用 对 称 密 钥 加 密 传输 ， 而 将 对 称 密 钥 用 收 方 
公 钥 加 密 发 送 给 对 方 。 收 方 收 到 电子 信封 ， 用 自己 的 私 钥 解密 信封 ， 取 出 对 称 密 钥 解密 得 
原文 。 其 详细 过 程 如 下 。 

Q@ 发 方 A 将 原文 信息 进行 哈 希 运 算 ， 得 一 哈 希 值 即 数字 摘要 MD。 

@ 发 方 A 用 自己 的 私 钥 PVA, 采用 非 对 称 RSA 算法 ,对 数字 摘要 MD 进行 加 密 ， 即 
得 数字 签名 DS。 

@ 发 方 A 用 对 称 算法 DES 的 对 称 密 钥 SK 对 原文 信息 、 数 字 签 名 SD 及 发 方 A 证 书 
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的 公 钥 PBA 采用 对 称 算法 加 密 ， 得 加 密 信息 E。 

图 发 方 用 收 方 B 的 公 钥 PBB, 采 用 RSA 算法 对 对 称 密 钥 SK 加 密 , 形成 数字 信封 DE， 
就 好 像 将 对 称 密 钥 SK 装 到 了 一 个 用 收 方 公 钥 加 密 的 信封 里 。 

@@ 发 方 A 将 加 密 信息 EE 和 数字 信封 DE 一 起 发 送 给 收 方 B。 

@ 收 方 B 接受 到 数字 信封 DE 后 ， 首 先 用 自己 的 私 钥 PVB 解密 数字 信封 ， 取 出 对 称 
密 钥 SK。 

@ 收 方 B 用 对 称 密 钥 SK 通过 DES 算法 解密 加 密 信息 E， 还 原 出 原文 信息 、 数 字 签 
名 SD 及 发 方 A 证 书 的 公 钥 PBA。 

@ 收 方 B 验证 数字 签名 ， 先 用 发 方 A 的 公 钥 解密 数字 签名 得 数字 摘要 MD。 

@ 收 方 B 同时 将 原文 信息 用 同样 的 哈 希 运算 ， 求 得 一 个 新 的 数字 摘要 MD' 。 

@ 将 两 个 数字 摘要 MD 和 MD' 进行 比较 ， 验 证 原文 是 否 被 修改 。 如 果 二 者 相等 ， 说 
明 数 据 没有 被 自 改 ， 是 保密 传输 的 ， 签 名 是 真实 的 ; 否则 拒绝 该 签名 。 

这 样 就 做 到 了 敏感 信息 在 数字 签名 的 传输 中 不 被 算 改 ， 未 经 认证 和 授权 的 人 ， 看 不 见 
原 数 据 ， 起 到 了 在 数字 签名 传输 中 对 敏感 数据 的 保密 作用 。 
12.2.5 ”身份 认证 技术 


网 络 的 安全 性 常 取 决 于 能 否 正 确 地 验证 通信 或 终端 用 户 的 个 人 身份 ， 如 机 要 部 门 或 地 
区 的 进入 、 自 动 出 纳 机 提 款 以 及 各 种 计算 机 资源 系统 的 介入 都 需要 对 用 户 的 个 人 身份 进行 
识别 认可 。 

认证 是 验证 通信 用 户 或 终端 个 人 身份 最 重要 的 安全 服务 之 一 ， 其 他 所 有 安全 服务 都 依 
赖 于 认证 服务 。 身 份 认 证 是 用 来 获得 对 谁 或 对 什么 事情 信任 的 一 种 方法 。 

身份 认证 大 致 可 分 为 3 种 : 

@ 个 人 知道 的 某 种 事物 ， 如 口令 、 账 号 和 个 人 识别 码 (PIN) 等 。 

@ 个 人 持 证 《〈 也 称 令 牌 ) ， 如 图 音 、 标 志 、 钥 是 和 护照 等 。 

e@ 个 人 特征 ， 如 指纹 、 声 纹 、 手 形 、 视 网 膜 、 血 型 、 基 因 、 笔 迹 、 习 惯性 签字 等 。 


12.3 ”防火 墙 技术 


防火 墙 就 像 一 个 重要 单位 的 门卫 一 样 ， 要 求 来 访 者 填 上 自己 的 姓名 、 来 访 目的 、 来 访 
事件 和 拜访 何人 等 。 虽 令 人 生 厌 ， 但 却 必 不 可 少 。 防 火 墙 也 一 样 ， 它 是 保证 企业 内 部 网 络 
安全 的 第 一 道 关卡 。 

为 了 保障 网 络 安全 ， 防 止 外 部 网 对 内 部 网 的 侵犯 ， 常 在 内 部 网 络 与 外 部 公共 网 络 之 间 
设置 防火 墙 。 一 方面 最 大 限度 地 让 内 部 用 户 方便 地 访问 公共 网 络 ， 另 一 方面 尽 可 能 地 防止 
外 部 网 对 内 部 网 的 非法 入 侵 。 

防火 墙 总 体 上 分 为 数据 包 过 滤 和 应 用 网 关 等 几 大 类 型 。 

(1) 数据 包 过 滤 技 术 是 在 网 络 层 对 数据 包 进行 选择 

通过 检查 数据 流 中 每 个 数据 包 的 源 地址 、 目 的 地 址 、 所 用 的 端口 号 和 协议 状态 等 因素 ， 
或 者 它们 的 组 合 来 确定 是 否 允 许 该 数据 包 通 过 。 它 通常 安装 在 路 由 器 上 。 

(2) 应 用 网 关 是 在 网 络 应 用 层 上 建立 协议 过 滤 和 转发 功能 
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它 针 对 特定 的 网 络 应 用 服务 协议 使 用 指定 的 数据 过 滤 逻 辑 ， 并 在 过 滤 的 同时 ， 对 数据 
包 进 行 必要 的 分 析 、 登 记 和 统计 ， 形 成 报告 。 实 际 中 的 应 用 网 关 通 常安 装 在 专用 工作 站 系 
统 上 。 
12.3.1 防火墙 的 基本 概念 


防火 墙 一 般 设 置 在 可 信任 的 企业 内 部 网 和 不 可 信任 的 公共 网 之 间 ， 它 可 以 设 定 哪些 内 
部 服务 可 以 被 外 界 访问 ， 外 界 的 哪些 人 可 以 访问 内 部 的 哪些 服务 ， 以 及 哪些 外 部 服务 可 以 
被 内 部 人 员 访 问 。 所 有 来 往 公共 网 络 的 信息 都 必须 经 过 防火 墙 的 检查 。 防 火 墙 必须 只 允许 
授权 的 数据 通过 ， 并 且 本 身 能 够 免 于 渗透 。 

1. 防火 墙 的 定义 

防火 墙 是 指 为 了 增强 机 构 内 部 网 络 的 安全 性 而 设置 在 不 同 网 络 或 网 络 安全 域 之 间 的 一 
系列 部 件 的 组 合 。 它 可 通过 监测 、 限 制 、 更 改 跨越 防火 墙 的 数据 流 ， 尽 可 能 地 对 外 部 屏蔽 
网 络 内 部 的 信息 、 结 构 和 运行 状况 ， 以 此 来 实现 网 络 的 安全 保护 。 

在 逻辑 上 ， 防 火 墙 是 一 个 分 离 器 ， 一 个 限制 器 ， 也 是 一 个 分 析 器 ， 本 质 上 是 一 个 独立 
的 进程 或 一 组 紧密 结合 的 进程 ， 通 过 监控 内 部 网 和 公共 网 络 之 间 的 任何 活动 ， 确 保 一 个 单 
位 的 内 部 网 与 因特网 之 间 所 有 的 通信 均 符合 该 单位 的 安全 策略 。 

防火 墙 的 设计 目标 如 下 。 

e@ 进出 内 部 网 的 通信 量 必须 通过 防火 墙 。 

@ 只 有 那些 在 内 部 网 安全 策略 中 定义 为 合法 的 通信 量 才 能 够 进出 防火 墙 。 

e 防火 墙 自身 应 该 能 够 防止 渗透 。 

2. 防火 墙 的 优点 

防火 墙 不 仅仅 是 路 由 器 、 堡 垒 主机 或 任何 提供 网 络 安全 性 设备 的 组 合 ， 它 还 是 安全 策 
略 的 一 个 部 分 。 安 全 策略 建立 了 全 方位 的 防御 体系 来 保护 机 构 的 信息 资源 。 安 全 策略 告诉 
用 户 应 有 的 责任 、 公 司 规定 的 网 络 访问 、 服 务 访问 、 本 地 和 远程 的 用 户 认证 、 拨 入 和 拨 出 、 
磁盘 和 数据 加 密 、 病 毒 防护 措施 和 雇员 培训 等 。 所 有 可 能 受到 网 络 攻击 的 地 方 都 必须 以 同 
样 的 安全 级 别 加 以 保护 。 仅 设立 防火 墙 系统 ， 而 没有 全 面 的 安全 策略 ， 那 么 防火 墙 就 形 同 
虚设 。 

引入 防火 墙 的 好 处 有 : 保护 脆弱 的 服务 ;控制 对 系统 的 访问 ;集中 的 安全 管理 ;增强 
的 保密 性 ; 记录 和 统计 网 络 利 用 数据 以 及 非法 使 用 数据 ， 策 略 执行 。 

3. 防火 墙 的 缺点 

防火 墙 也 有 自身 的 限制 ， 这 些 缺 陷 包 括 如 下 几 个 方面 。 

e 防火 墙 无 法 阻止 绕 过 防火 墙 的 攻击 。 因特网 系统 可 能 具有 通过 拨号 连接 到 ISP 去 的 
功能 。 内 部 LAN 可 能 提供 一 个 调制 解 调 器 池 ， 通 过 它 就 可 以 向 外 地 的 雇员 或 远程 
办 公 人 员 提 供 拨 入 服务 ， 外 部 人 员 进 而 进入 内 部 网 络 。 

e@ 防火 墙 无 法 阻止 来 自 内 部 的 威胁 , 比如 一 个 雇员 无 意 间 帮 助 外 部 入 侵 者 的 雇员 造成 
的 攻击 。 

e 防火墙 无 法 防止 病毒 感染 程序 或 文件 的 传输 。 因为 在 内 部 网 中 有 各 种 操作 系统 和 应 
日 软件, 所 以 要 求 防火 墙 扫 描 所 有 进来 的 文件 、 电 子 邮件 和 消息 以 确定 是 否 有 病毒 ， 
这 不 仅 是 不 实用 的 ， 而 且 是 不 可 能 的 。 


-mn 
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12.3.2 ”防火 墙 的 设计 策略 


防火 墙 通常 有 两 种 基本 的 设计 策略 : 允许 任何 服务 除非 被 明确 禁止 ， 禁 止 任何 服务 除 
非 被 明确 允许 。 第 一 种 的 特点 是 “ 疑 罪 从 无 ”， 即 “在 被 判 有 罪 之 前 ， 任 何 嫌疑 人 都 是 无 
罪 的 ”， 它 好 用 但 不 安全 。 第 二 种 是 “ 宁 枉 勿 纵 ”， 即 “宁可 错 杀 三 千 ， 也 不 放 过 一 个 ”， 
它 安全 但 不 好 用 。 在 实际 应 用 中 防火 墙 通常 采用 第 二 种 设计 策略 ， 但 多 数 防火 墙 都 会 在 两 
种 策略 之 间 采 取 折 中 的 办 法 。 

防火 墙 的 设计 策略 包括 网 络 策略 和 服务 访问 策略 。 影 响 防火 墙 系统 设计 、 安 装 和 使 
的 网 络 策略 可 分 为 两 级 ， 高 级 网 络 策略 定义 允许 和 禁止 的 服务 以 及 如 何 使 用 服务 ， 低 级 网 
络 策略 描述 防火 墙 如 何 限制 和 过 滤 在 高 级 策略 中 定义 的 服务 。 

服务 访问 策略 主要 包括 因特网 访问 策略 和 外 部 网 络 来 访 策略 〈 如 拨 入 策略 、SLIP/PPP 
连接 等 ) 。 服 务 访问 策略 必须 是 可 行 的 和 合理 的 。 可 行 的 策略 必须 在 阻止 已 知 的 网 络 风险 
和 提供 用 户 服务 之 间 取 得 平衡 。 典 型 的 服务 访问 策略 是 允许 已 认证 的 用 户 在 必要 的 情况 下 
从 因特网 访问 某 些 内 部 主机 和 服务 ;允许 内 部 用 户 访问 指定 的 因特网 主机 和 服务 。 

【 例 12-1】 网 络 在 安装 防火 墙 前 拓扑 结构 如 图 12-3 所 示 ， 有 具体 环境 如 下 。 

@ 外 网 ( 即 外 部 网 ) 接口 S1 地 址 为 202.112.169.6/30〈( 子 网 掩 码 表示 由 30 个 1 组 成 ， 
同 ) ， 上 联 因 特 网 接口 地 址 为 202.112.169.5/30。 

@ 内 网 ( 即 内 部 网 ) 接口 地 址 有 两 个 。E0: 202.112.168.2/28 (可 用 地 址 空间 是 
202.112.168.1 一 202.112.169.14， 广 播 地 址 为 202.112.168.15) 。E0: 192.168.1.1/24 (内 部 网 
私有 地 址 ， 地 址 空间 为 192.168.1.1 一 192.168.1.254， 广 播 地 址 为 192.168.1.255) 。 

@ 对 外 服务 器 默认 网 关 为 202.112.168.1， 内 部 主机 默认 网 关 地 址 为 192.168.1.1。 

@ 内 部 网 主机 通过 代理 服务 器 上 网 。 

要 求 使 用 防火 墙 ， 并 制定 相应 策略 来 提高 网 络 的 安全 性 。 
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图 12-3 ”安装 防火 墙 前 网 络 拓扑 结构 


(1) 防火 墙 部 属 
网 络 安装 防火 墙 后 ， 其 拓扑 结构 如 图 12-4 所 示 ， 具 体 环 境 如 下 。 
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图 12-4 安装 防火 墙 后 网 络 拓扑 结构 


防火 墙 工作 在 混杂 模式 下 。 
内 部 主机 同 内 部 服务 器 系统 严格 分 开 。 
内 部 私有 地 址 主机 , 内 部 服务 器 系统 ， 外 部 网 络 分 成 严格 的 3 个 区 域 (内 网 、 外围、 
DMZ 区 域 ) 。 

@ 内 网 网 口 对 应 防火 墙 上 接口 1， 外 网 网 口 对 应 防火 墙 上 接口 2,，DMZ 区 域 对 应 防火 
洁 接 口 3。 

@@ 在 各 个 区 域 之 间 实 施 严格 的 访问 控制 ， 保 障 系统 安全 。 

@ 内 部 服务 器 系统 采用 公有 地 址 ， 内 部 网 访问 外 部 网 通过 NAT 实现 ， 取 代 以 前 的 代 
理 服务 器 系统 。 

@ 将 防火 墙 控 制 端 放置 在 内 部 网 。 

路 由 器 上 取消 E0 的 第 2 个 地 址 。 

(2) 配置 策略 

@ 接口 1 设 为 防火 墙 的 内 部 网 接口 和 管理 口 , 地址 为 192.168.1.1, 设置 好 相应 的 子 网 
掩 码 后 将 其 选 为 控制 口 。 

@ 将 DMZ 区 域 和 外 网 区 域 设置 为 桥 模式 ， 同 时 在 桥 上 绑 定 人 P 地 址 202.112.169.6/28 
(为 原来 代理 服务 器 地 址 ) 。 

@ 添加 内 部 网 、DMZ 区 域 以 及 外 部 网 个 别 设备 。 

@ 按照 实际 情况 配置 各 种 安全 策略 ， 如 内 部 网 访问 DMZ 区 域 各 个 服务 器 访问 规则 ， 
根据 不 同 服务 配置 不 同 的 策略 。 

@ NAT 规则 设置 。 在 原 系统 中 ， 内 部 网 通过 代理 服务 器 上 网 。 调 整 后 ， 内 部 网 的 网 
络 用 户 可 以 直接 上 网 ， 不 需要 代理 服务 器 。 在 防火 墙 上 设置 NAT 功能 实现 地 址 转换 。 当 内 
部 网 访问 外 部 网 络 时 ， 全 部 将 内 容 地 址 转换 为 防火 墙 外 部 网 地 址 。 


@OO 


第 12 章 计算 机 网 络 安全 273 


12.4 计算 机 病毒 


计算 机 病毒 是 指 可 以 制造 故障 的 一 段 计 算 机 程序 或 一 组 计算 机 指令 ， 它 被 计算 机 软件 
制造 者 有 意 无 意 地 放 进 一 个 标准 化 的 计算 机 程序 或 计算 机 操作 系统 中 。 然 后 ， 该 病毒 会 依 
照 指 令 不 断 地 进行 自我 复制 ， 也 就 是 进行 繁殖 和 扩散 传播 。 


12.4.1 计算 机 病毒 的 特点 


(1) 非 授权 可 执行 性 

用 户 执行 一 个 程序 时 ， 把 系统 控制 权 交 给 这 个 程序 ， 并 分 配给 它 相应 的 系统 资源 ， 如 
内 存 ， 从 而 使 之 能 够 运行 以 完成 用 户 的 需求 ， 因 此 程序 执行 的 过 程 对 用 户 是 透明 的 。 而 计 
算 机 病毒 是 非法 程序 ， 正 常用 户 是 不 会 明知 是 病毒 程序 ， 而 故意 调用 执行 。 但 由 于 计算 机 
病毒 具有 正常 程序 的 一 切 特性 ， 可 存储 性 和 可 执行 性 。 它 隐藏 在 合法 的 程序 或 数据 中 ， 当 
用 户 运行 正常 程序 时 ， 病 毒 伺 机 窃取 到 系统 的 控制 权 ， 抢 先 运 行 ， 然 而 此 时 用 户 还 认为 在 
执行 正常 程序 。 

(2) 隐蔽 性 

计算 机 病毒 是 一 种 编程 技巧 很 高 、 短 小 精 悍 的 可 执行 程序 。 它 通常 黏附 在 正常 程序 之 
中 或 磁盘 引导 扇 区 中 ， 或 者 磁盘 上 标 为 坏 秘 的 扇 区 中 ， 以 及 一 些 空闲 概率 较 大 的 扇 区 中 
这 是 它 的 非法 可 存储 性 。 病 毒 想方设法 隐藏 自身 ， 就 是 为 了 防止 用 户 察觉 。 

(3) 传染 性 

传染 性 是 计算 机 病毒 最 重要 的 特征 ， 是 判断 一 段 程序 是 否 为 计算 机 病毒 的 依据 。 病 毒 
程序 一 旦 侵入 计算 机 系统 就 开始 搜索 可 以 传染 的 程序 或 者 磁 介 质 ， 然 后 通过 自我 复制 迅速 
传播 。 由 于 目前 计算 机 网 络 日 益 发 达 ， 计 算 机 病毒 可 以 在 极 短 的 时 间 内 ， 通 过 像 因特网 这 
样 的 网 络 传播 世界 。 

(4) 潜伏 性 

计算 机 病毒 具有 依附 于 其 他 媒体 而 寄生 的 能 力 ， 这 种 媒体 称 之 为 计算 机 病毒 的 宿主 。 
依靠 病毒 的 寄生 能 力 ， 病 毒 传染 合法 的 程序 和 系统 后 ， 不 立即 发 作 ， 而 是 悄悄 地 隐藏 起 来 ， 
然后 在 用 户 不 察觉 的 情况 下 进行 传染 。 这 样 ， 病 毒 的 潜伏 性 越 好 ， 它 在 系统 中 存在 的 时 间 
也 就 越 长 ， 传 染 的 范围 也 越 广 ， 危 害 性 也 越 大 。 

(5) 破坏 性 

无 论 何 种 病毒 程序 一 旦 侵入 系统 都 会 对 操作 系统 的 运行 造成 不 同 程度 的 影响 ， 即 使 不 
直接 产生 破坏 作用 的 病毒 程序 也 要 占用 系统 资源 (如 占用 内 存 空间 ， 占 用 磁盘 存储 空间 以 
及 系统 运行 时 间 等 ) 。 而 绝 大 多 数 病毒 程序 要 显示 一 些 文字 或 图 像 ， 影 响 系统 的 正常 运行 ， 
还 有 一 些 病 毒 程序 删除 文件 ， 加 密 磁盘 中 的 数据 ， 甚 至 摧毁 整个 系统 和 数据 ， 使 之 无 法 恢 
复 ， 造 成 无 可 挽回 的 损失 。 因 此 ， 病 毒 程序 的 副作用 轻 者 降低 系统 工作 效率 ， 重 者 导致 系 
统 朋 溃 、 数 据 丢 失 。 病 毒 程序 的 表现 性 或 破坏 性 体现 了 病毒 设计 者 的 真正 意图 。 

(6) 可 触发 性 

计算 机 病毒 一 般 都 有 一 个 或 者 几 个 触发 条 件 。 满 足 其 触发 条 件 时 要 么 激活 病毒 的 传染 
机 制 ， 使 之 进行 传染 ， 要 么 进行 传染 ， 要 么 激活 病毒 的 表现 部 分 或 破坏 部 分 。 触 发 的 实质 
是 一 种 条 件 的 控制 ， 病 毒 程序 可 以 依据 设计 者 的 要 求 ， 在 一 定 条 件 下 实施 攻击 。 这 个 条 件 


274 网 络 基础 教程 


可 以 是 敲 入 特定 字符 ， 使 用 特定 文件 ， 等 待 某 个 特定 日 期 或 特定 时 刻 ， 或 者 是 病毒 内 置 的 
计数 器 打 到 一 定 次 数 等 。 
12.4.2 ”计算 机 病毒 的 分 类 


从 第 一 个 病毒 出 世 以 来 ,病毒 的 数量 仍 在 不 断 增加 。 据 统计 ， 计算机 病毒 以 每 周 10 种 
的 速度 递增 。 下 面 对 计 算 机 病毒 种 类 进行 分 类 ， 以 便 更 好 地 了 解 病毒 。 

1. 按 传染 方式 分 类 

计算 机 病毒 按 传染 方式 分 为 引导 型 病毒 、 文 件 型 病毒 和 复合 型 病毒 。 以 下 分 别 对 三 种 
类 型 做 出 介绍 。 

(1) 引导 型 病毒 

引导 型 病毒 是 指 寄生 在 磁盘 引导 区 或 主 引导 区 的 计算 机 病毒 。 此 种 病毒 利用 系统 引导 
时 不 对 主 引 导 区 内 容 的 正确 性 进行 判别 的 缺点 , 在 引导 系统 的 过 程 中 侵入 系统 , 驻 留 内 存 ， 
监视 系统 运行 ， 伺 机 传染 和 破坏 。 按 照 引 导 型 病毒 在 硬盘 上 的 寄生 位 置 又 可 细 分 为 主 引 导 
记录 病毒 和 分 区 引导 记录 病毒 。 主 引导 记录 病毒 感染 硬盘 的 主 引导 区 ， 如 大 麻 病毒 、2708 
病毒 和 火炬 病毒 等 ， 分 区 引导 记录 病毒 感染 硬盘 的 活动 分 区 引导 记录 ， 如 小 球 病毒 、Ginl 
病毒 等 。 

(2) 文件 型 病毒 

文件 型 病毒 是 指 能 够 寄生 在 文件 中 的 计算 机 病毒 。 这 类 病毒 程序 感染 可 执行 文件 ， 如 
1575/1591 病毒 、848 病毒 感染 .COM 和 .EXE 等 可 执行 文件 ，Macro/Concept、Marco/Atoms 
等 宏 病 毒 感染 .DOC 文件 。 

(3) 复合 型 病毒 

复合 型 病毒 具有 引导 型 病毒 和 文件 型 病毒 的 寄生 方式 。 这 种 病毒 扩大 了 病毒 程序 的 传 
染 途径 ， 既 感染 磁盘 的 引导 记录 ， 又 感染 可 执行 文件 。 当 染 有 此 种 病毒 的 磁盘 用 于 引导 系 
统 或 调用 执行 染 毒 文件 时 ， 病 毒 都 会 被 激活 。 因 此 在 检测 、 清 除 复合 型 病毒 时 ， 必 须 全 面 
彻底 地 根治 此 种 病毒 。 如 果 只 被 该 病毒 的 一 个 特性 ， 把 它 只 当 作 引 导 型 或 文件 型 病毒 进行 
清除 的 话 ， 虽 然 好 像 是 清除 了 ， 但 还 留 有 隐患 ， 并 且 这 种 经 过 消毒 后 的 “洁净 ”系统 更 赋 
有 攻击 性 。 这 种 病毒 有 Flip 病毒 、 新 世纪 病毒 和 One-half 病毒 等 。 

2. 按 连接 方式 分 类 

计算 机 病毒 按 连 接 方式 可 分 为 源码 型 病毒 、 入 侵 型 病毒 、 操 作 系统 型 病毒 和 外 壳 型 病 
毒 ， 以 下 分 别 对 其 进行 介绍 。 

(1) 源码 型 病毒 

源码 型 病毒 较为 少见 ， 并 且 很 难 编写 。 因 为 它 要 攻击 高 级 语言 编写 的 源 程序 ， 在 源 程 
序 编译 之 前 插入 其 中 ， 并 且 随 源 程序 一 起 编译 、 链 接 成 可 执行 文件 。 此 时 刚刚 生成 的 可 执 
行文 件 便 已 经 感染 了 病毒 。 

(2) 入 侵 型 病毒 

入 侵 型 病毒 可 用 自身 代替 正常 程序 中 的 部 分 模块 或 堆栈 区 。 因 此 这 类 病毒 只 攻击 某 些 
特定 程序 ， 针 对 性 强 ， 一 般 情 况 下 难以 被 发 现 ， 清 除 起 来 也 比较 困难 。 

(3) 操作 系统 型 病毒 

操作 系统 型 病毒 可 用 自身 部 分 加 入 或 替代 操作 系统 的 部 分 功能 。 因 其 直接 感染 操作 系 
统 ， 这 类 病毒 的 危害 性 较 大 。 
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(4) 外 壳 型 病毒 
外 这 型 病毒 将 自身 附 在 正常 程序 的 开头 或 结尾 ， 相 当 于 给 程序 加 了 个 外 壳 。 大 部 分 的 


文件 型 病毒 都 属于 这 一 类 。 
3. 按 破坏 性 分 类 
计算 机 病毒 按 破坏 性 分 为 良性 病毒 和 恶性 病毒 。 以 下 分 别 对 其 做 出 介绍 。 
(1) 良性 病毒 


良性 病毒 是 指 那些 只 为 了 表现 自身 ， 并 不 彻底 破坏 系统 和 数据 ,但 会 大 量 占用 CPU 时 
间 ， 增 加 系统 开销 ， 降 低 系统 工作 效率 的 一 类 计算 机 病毒 。 这 种 病毒 多 数 是 恶作剧 者 的 产 
物 ， 他 们 的 目的 不 是 为 了 破坏 系统 和 数据 ， 而 是 为 了 让 使 用 染 有 病毒 的 计算 机 用 户 通过 显 
示 器 或 扬声器 看 到 或 听 到 病毒 设计 者 的 编程 技术 。 这 类 病毒 有 小 球 病毒 、1575/1591 病毒 、 
救护 车 病毒 、 扬 基 病 毒 和 Dabi 病毒 等 。 还 有 一 些 人 利用 病毒 的 这 些 特点 宣传 自己 的 政治 观 
点 和 主张 。 也 有 一 些 病毒 设计 者 在 其 编制 的 病毒 发 作 时 进行 人 身 攻击 。 

(2) 恶性 病毒 

恶性 病毒 是 指 那 些 一 旦 发 作 后 ， 就 会 破坏 系统 或 数据 ， 造 成 计算 机 系统 瘫痪 的 一 类 计 
算 机 病毒 。 这 类 病毒 有 黑色 星期 五 病毒 、 火 炬 病毒 和 米 开朗 基 罗 病毒 等 。 这 种 病毒 危害 性 
极 大 ， 有 些 病毒 发 作 后 可 以 给 用 户 造成 不 可 挽回 的 损失 。 


12.4.3 ”计算 机 病毒 的 防治 


(1) 病毒 的 防治 策略 

病毒 防治 的 根本 目的 是 保护 用 户 的 数据 安全 ， 因 此 病毒 的 防治 策略 可 以 从 以 下 三 个 方 
面 入 手 : 数据 备份 、 封 堵 漏 洞 ， 查 杀 病 毒 和 灾难 恢复 。 

数据 备份 是 降低 病毒 破坏 性 的 最 有 效 方 法 。 经 常 进行 数据 备份 ， 即 使 遭 到 病毒 攻击 ， 
也 不 至 于 丢失 关键 数据 。 对 付 病 毒 ， 一 方面 封 堵 系统 及 应 用 程序 漏洞 ， 另 一 方面 还 要 积极 
地 、 经 常 地 查 杀 病 毒 。 同 时 对 于 一 些 灾难 性 的 或 不 可 避免 的 损失 ， 使 用 灾难 恢复 同样 是 一 
个 重要 的 防毒 措施 。 用 户 系 统 发 身 故 意外 、 数 据 遭 受 损 失 破坏 后 ， 应 立即 关闭 系统 ， 以 防 
止 更 多 的 数据 遭受 破坏 ， 然 后 根据 具体 情况 选择 合适 的 方案 进行 数据 恢复 。 

(2) 病毒 的 防治 和 查 杀 方法 

对 用 户 而 言 ， 降 低 病毒 破坏 程度 的 最 佳 策 略 是 防 患 于 未 然 ， 即 采取 有 效 措施 ， 尽 最 大 
可 能 地 防止 计算 机 感染 病毒 。 由 于 病毒 大 多 是 利用 系统 或 应 用 程序 的 漏洞 进行 攻击 和 破坏 
的 ， 因 此 封 堵 漏洞 可 以 减少 遭受 病毒 攻击 的 几率 ， 封 堵 漏洞 要 从 3 个 方面 着 手 。 

@ 要 对 网 络 和 每 台 计 算 机 正确 配置 , 特别 要 注意 安全 权限 等 关键 配置 ， 防 止 因 配置 疏 

忽 留 下 漏洞 而 给 病毒 可 乘 之 机 。 

@ 尽量 不 安装 或 者 关闭 不 需要 或 不 安全 的 功能 性 应 用 程序 。 

@ ”要 经 常 从 相关 的 网 站 下 载 补丁 程序 ， 及 时 完善 系统 和 应 用 程序 ， 尽量 减少 系统 和 应 
用 程序 漏洞 。 

封 堵 漏 洞 、 查 杀 病 毒 是 对 抗 病毒 最 有 效 的 手段 。 网 络 环境 下 ， 病 毒 的 查 杀 方法 较 多 ， 
它们 各 有 其 优 缺 点 。 
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12.5 ”网 络 攻 击 与 防范 


涉及 网 络 安全 的 问题 很 多 ， 最 重要 的 问题 就 是 人 为 的 网 络 攻击 ， 尤 其 是 在 因特网 互 
联 全 球 的 过 程 中 ， 网 络 攻击 更 是 比比 丝 是 。 本 节 将 针对 常见 的 网 络 攻击 和 防范 措施 做 详 
细 介 绍 。 
12.5.1 网 络 攻击 方法 分 析 


当 信息 从 信 源 向 信 宿 流动 时 ， 可 能 会 受到 各 种 类 型 的 攻击 ， 如 图 12-5 所 示 。 


@——® 


(a) 正常 流动 


图 12-5 ”安全 攻击 


Q@ 中 断 是 指 系统 资源 遭 到 破坏 或 变 得 不 能 使 用 。 这 是 对 可 用 性 的 攻击 。 例 如 ， 对 一 些 
硬件 进行 破坏 、 切 断 通信 线路 或 禁用 文件 管理 系统 。 

@ 截取 是 指 未 授权 的 实体 得 到 了 资源 的 访问 权 。 这 是 对 机 密 性 的 攻击 。 未 授权 实体 可 
能 是 一 个 人 、 一 个 程序 或 一 台 计 算 机 。 例 如 ， 为 了 捕获 网 络 数据 的 窃听 行为 ， 以 及 在 未 授 
权 的 情况 下 复制 文件 或 程序 的 行为 。 

@ 修改 是 指 未 授权 的 实体 不 仅 得 到 了 访问 权 , 而 且 还 算 改 了 资源 。 这 是 对 完整 性 的 攻 
击 。 例 如 ， 在 数据 文件 中 改变 数值 、 改 动 程序 使 它 按 不 同 的 方式 运行 和 修改 在 网 络 中 传送 
的 消息 的 内 容 等 。 

@ 捏造 是 指 未 授权 的 实体 向 系统 中 插入 伪造 的 对 象 。 这 是 对 合法 性 的 攻击 。 例 如 ， 向 
网 络 中 插入 欺骗 性 的 消息 ; 或 者 向 文件 中 插入 额外 的 记录 。 

1. 被 动 攻击 和 主动 攻击 

安全 攻击 可 分 为 被 动 攻 击 和 主动 攻击 两 种 ， 如 图 12-6 所 示 。 


信息 内 容 的 泄漏 通信 量 分 析 假冒 | 重 放 | [信息 内 容 的 修改 拒绝 服务 


图 12-6 ”主动 攻击 和 被 动 攻击 
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被 动 攻 击 的 特点 是 偷 听 或 监视 传送 。 其 目的 是 获得 正在 传送 的 信息 。 被 动 攻击 有 泄露 
信息 内 容 和 通信 量 分 析 等 。 

泄露 信息 内 容 容 易 理 解 。 电 话 对 话 、 电 子 邮件 消息 、 传 递 的 文件 中 可 能 含有 敏感 的 机 
密 信息 。 我 们 要 防止 对 手 从 传送 中 获得 这 些 内容 。 

主动 攻击 涉及 修改 数据 流 或 创建 数据 流 ， 它 包括 假冒 、 重 放 、 修 改 消息 和 拒绝 服务 等 。 

@ 假冒 是 一 个 实体 假装 成 男 一 个 实体 。 假 冒 攻 击 通 常 包括 一 种 其 他 形式 的 主动 攻击 。 
例如 ， 在 发 送 身份 验证 序列 时 ， 可 以 捕获 身份 验证 序列 并 重新 执行 ， 这 样 ， 通 过 扮演 具有 
特权 的 实体 ， 使 几乎 没有 特权 的 实体 获得 了 额外 的 特权 。 

@ 重 放 涉及 被 动 捕获 数据 单元 及 其 后 来 的 重新 传送 ， 以 产生 未 经 授权 的 效果 。 

@ 修改 消息 意味 着 改变 了 真实 消息 的 部 分 内 容 , 或 将 消息 延迟 或 重新 排序 ， 导 致 未 授 
权 的 操作 。 

@ 拒绝 服务 是 指 禁止 通信 实体 的 正常 使 用 或 管理 。 这 种 攻击 拥有 特定 的 目标 ， 例 如 ， 
实体 可 以 取消 送 往 特定 目的 地 址 的 所 有 消息 (例如 安全 审核 服务 ) 。 另 一 种 拒绝 服务 的 形 
式 是 整个 网 络 的 中 断 ， 这 可 以 通过 使 网 络 失效 而 实现 ， 或 通过 消息 过 载 使 网 络 性 能 降低 。 

主动 攻击 具有 与 被 动 攻击 相反 的 特点 。 虽 然 很 难 检测 出 被 动 攻击 ， 但 可 以 采取 措施 防 
止 它 的 成 功 。 相 反 ， 很 难 绝对 预防 主动 攻击 ， 因 为 这 样 需要 在 任何 时 候 对 所 有 的 通信 工具 
和 路 径 进 行 完 全 的 保护 。 防 止 主动 攻击 的 做 法 是 对 攻击 进行 检测 ， 并 从 它 引起 的 中 断 或 延 
述 中 恢复 过 来 。 因 为 检测 具有 威慑 的 效果 ， 它 也 可 以 对 预防 做 出 贡献 。 

2. 服务 攻击 和 非 服务 攻击 

从 网 络 高 层 协议 的 角度 划分 ， 攻 击 方法 可 以 概括 地 分 为 两 大 类 : 服务 攻击 与 非 服务 攻 
击 。 服 务 攻击 是 针对 某 种 特定 网 络 服务 的 攻击 ， 如 针对 E-mail 服务 、Telnet、FTP 和 HTTP 
等 服务 的 专门 攻击 ， 例 如 Telnet 服务 在 23 端口 上 提供 远 端 连接 ，HTTP 在 80 端口 等 待 客 
户 的 WWW 浏览 请 求 等 情况 是 众所周知 的 。 目 前 因特网 的 TCP/IP 协议 缺乏 认证 、 保 密 措 
施 ， 是 造成 服务 攻击 的 重要 原因 。 现 在 有 很 多 具体 的 攻击 工具 ， 如 Mail Bomb〔 邮 件 炸弹 ) 
等 ， 可 以 很 容易 的 实施 对 某 项 服务 的 攻击 。 

非 服务 攻击 不 针对 某 项 具体 应 用 服务 , 而 是 基于 网 络 层 等 低层 协议 而 进行 的 TCP/IP 协 
议 (尤其 是 全 v4) 自身 的 安全 机 制 不 足 为 攻击 者 提供 了 方便 之 门 ， 如 源 路 由 攻击 和 地 址 欺 
骗 都 属于 这 一 类 。 现 在 有 很 多 现成 的 软件 可 以 实施 非 服 务 攻击 ， 如 NetXRay 等 。 

与 服务 攻击 相 比 ， 非 服务 攻击 与 特定 服务 无 关 ， 往 往 利 用 协议 作 系统 实现 协议 时 的 漏 
洞 来 达到 攻击 的 目的 ， 更 为 隐蔽 ， 而 且 目前 也 是 常常 被 忽略 的 方面 ， 因 而 被 认为 是 一 种 更 
为 有 效 的 攻击 手段 。 

12.5.2 ”入 侵 检测 的 基本 概念 


入 侵 检测 (Intrusion Detection，ID) ， 顾 名 思 义 ， 是 对 入 侵 行 为 的 发 觉 。 它 通过 对 计 
算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 收集 信息 并 对 其 进行 分 析 ， 从 中 发 现 网 络 或 系统 中 
是 否 有 违反 安全 策略 的 行为 和 被 攻击 的 迹象 。 进 行 入 侵 检 测 的 软件 与 硬件 的 组 合 便 是 入 侵 
检测 系统 (Intrusion Detection System，IDS) 。 与 其 他 安全 产品 不 同 的 是 ， 入 侵 检 测 系 统 需 
要 更 多 的 智能 ， 必 须 可 以 将 得 到 的 数据 进行 分 析 ， 并 得 出 有 用 的 结果 。 一 个 合格 的 入 侵 检 
测 系统 能 大 大 简化 管理 员 的 工作 ， 保 证 网 络 安全 地 进行 。 

入 侵 检 测 是 对 防火 墙 及 其 有 益 的 补充 ， 能 够 帮助 网 络 系统 快速 发 现 网 络 攻击 的 发 生 
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扩展 了 系统 管理 员 的 安全 管理 能 力 〈 包 括 安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ， 提 高 了 信 
息 安 全 基础 结构 的 完整 性 。 入 侵 检测 被 认为 是 防火 墙 之 后 的 第 二 道 安 全 闸门 ， 在 不 影响 网 
络 性 能 的 情况 下 能 对 网 络 进行 监听 ， 从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操作 的 实时 保护 。 

在 本 质 上 ， 入 侵 检 测 系统 是 一 个 典型 的 “ 帘 探 设备 ”。 它 不 跨 接 多 个 物理 网 段 ， 无 须 
转发 任何 流量 ， 而 只 需要 在 网 络 上 被 动 的 、 无 声息 的 收集 它 所 关心 的 报 文 即 可 。 对 收集 来 
的 报 文 ， 入 侵 检测 系统 提取 相应 的 流量 统计 特征 值 ， 并 利用 内 置 的 入 侵 知 识 库 ， 与 这 些 流 
量 特征 进行 智能 分 析 比 较 匹配 。 根 据 预 设 的 阀 值 ， 匹 配 看 合 度 较 高 的 报 文 流量 将 被 认为 是 
攻击 ， 入 侵 检 测 系统 将 根据 相应 的 配置 进行 报警 或 进行 有 限度 的 反击 。 

1. IDS 功能 与 模型 

一 个 合格 的 入 侵 检 测 系统 能 大 大 简化 管理 员 的 工作 , 保证 网 络 安全 地 进行 。 具体 说 来 ， 
入 侵 检测 系统 的 主要 功能 有 以 下 几 点 。 

e@ 检测 并 分 析 用 户 和 系统 的 活动 。 
核查 系统 配置 和 漏洞 。 
评估 系统 关键 资源 和 数据 文件 的 完整 性 。 
识别 已 知 的 攻击 行为 。 
统计 分 析 异 常 行为 。 

@ 操作 系统 日 志 管理 ， 并 识别 违反 安全 策略 的 用 户 活动 。 

最 早 的 入 侵 检 测 模型 由 Dorothy Denning 在 1987 年 提出 。 这 个 模型 与 具体 系统 和 具体 
输入 无 关 ， 并 对 此 后 的 大 部 分 实用 系统 都 有 很 高 的 借鉴 价值 。 图 12-7 给 出 了 这 个 通用 模型 
的 体系 结构 。 事 件 产生 器 可 根据 具体 应 用 环境 而 有 所 不 同 ， 一 般 可 来 自 审计 记录 、 网 络 数 
据 包 以 及 其 他 可 视 行为 。 这 些 事件 构成 了 检测 的 基础 。 行 为 特征 表 是 整个 检测 系统 的 核心 ， 
包含 了 用 于 计算 用 户 行为 特征 的 所 有 变量 。 这 些 变量 可 根据 具体 所 采纳 的 统计 方法 及 事件 
记录 中 的 具体 动作 模式 而 定义 ， 并 根据 匹配 记录 数据 更 新 变量 值 。 

如 果 统 计 变量 的 值 达到 了 异常 程度 ， 则 行为 特征 表 产 生 异 常 记录 ， 并 采取 一 定 的 措施 。 
规则 模块 可 以 由 系统 安全 策略 、 攻 击 模式 等 组 成 。 它 一 方面 以 判断 是 否 被 攻击 提供 参考 机 
制 ， 另 一 方面 根据 事件 记录 、 异 常 记录 以 及 有 效 日 期 等 控制 并 更 新 其 他 模块 的 状态 。 在 具 
体 实 现 上 ， 规 则 的 选择 与 更 新 的 可 能 不 尽 相 同 ， 但 通常 ， 行 为 特征 模块 执行 基于 行为 的 检 
测 ， 而 规则 模块 执行 基于 知识 的 检测 。 

审计 记录 特征 表 
网 络 数据 包 等 更 新 2 


行为 特征 模 央 [| 


图 12-7 通用 的 入 侵 检 测 模型 


2. IDS 系统 结构 
入 侵 检测 是 监测 计算 机 网 络 和 系统 以 发 现 违反 安全 策略 事件 的 过 程 。 通 常 ， 入 侵 检测 
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系统 由 以 下 三 个 功能 部 件 组 成 。 

e@ 事件 发 生 器 一 一 提供 事件 记录 流 的 信息 源 。 

e@ 分 析 引 擎 一 一 接收 来 自信 息 源 的 数据 并 检查 数据 以 发 现 入 侵 迹 象 。 

e@ 响应 部 件 一 一 对 基于 分 析 引 擎 的 结果 产生 反应 。 

入 侵 检 测 源 于 传统 系统 审计 的 实现 。 当 审计 作为 保护 敏感 系统 的 方法 被 提出 时 ， 确 保 
审计 信息 的 可 信 就 成 为 很 自然 的 事 。 在 一 个 环境 中 ， 审 计 信息 必须 与 它 要 保护 的 系统 分 开 
来 存储 和 处 理 。 大 多 数 入 侵 检测 方法 都 继承 了 这 个 要 求 ， 将 审计 信息 和 它 要 保护 的 系统 分 
隔 开 来 ， 这 是 因为 要 防止 入 侵 者 通过 删除 审计 记录 来 使 入 侵 检测 系统 失效 ;要 防止 入 侵 者 
通过 修改 入 侵 监测 器 的 结果 来 隐藏 入 侵 的 存在 ， 要 减轻 操作 系统 执行 入 侵 检 测 任务 带 来 的 
操作 负载 ， 在 这 种 体系 结构 中 ， 运 行 入 侵 检测 系统 的 系统 叫做 主机 ， 被 检测 的 系统 或 网 络 
叫做 目标 机 。 

3. 监测 策略 

入 侵 检 测 的 第 一 要 素 是 数据 源 。 数 据 源 可 以 以 多 种 方式 进行 分 类 。 以 数据 存在 的 位 置 
来 对 数据 进行 分 类 ， 数 据 源 可 分 为 4 类 ， 来 自主 机 的 数据 、 来 自 网 络 的 数据 、 来 自 应 用 程 
序 的 和 来 自 目标 机 的 数据 。 根 据 以 上 4 类 数据 源 ， 就 有 4 种 不 同 的 监测 策略 。 

@ 基于 主机 的 监测 : 收集 通常 在 操作 系统 层 ， 来 自 计算 机 内 部 的 数据 。 

@ 基于 网 络 的 监测 : 收集 网 络 数据 包 。 

e@ 基于 应 用 程序 的 监测 : 收集 来 自 运 行 应 用 程序 的 数据 。 

@ 基于 目标 机 的 监测 : 产生 自己 的 数据 。 

4. IDS 类 型 

入 侵 检测 系统 有 不 同 的 分 类 标准 ， 按 照 信息 源 划分 入 侵 检 测 系统 是 目前 最 通用 的 划分 
方法 。 入 侵 检测 系统 分 为 四 类 ， 即 基于 主机 的 IDS、 基 于 网 络 的 IDS、 基 于 目标 的 IDS 和 
基于 应 用 的 IDS。 基 于 网 络 的 IDS 和 基于 主机 的 IDS 是 目前 最 常用 的 两 类 IDS， 下 面 主 要 
对 这 两 类 IDS 进行 分 析 。 

(1) 基于 网 络 的 IDS 

基于 网 络 的 入 侵 检测 使 用 原始 的 数据 包 作为 数据 源 。 通 常 将 主机 的 网 卡 设 成 混杂 模式 
(promiscuous mode) ， 实 时 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 基 于 网 络 的 入 侵 检测 系 
统 担负 着 保护 整个 网 段 的 任务 ， 它 的 攻击 识别 模块 通常 使 用 4 种 技术 来 识别 攻击 标识 。 
模式 、 表 达 或 字 节 匹配 。 

次 要 事件 的 相关 性 。 
统计 学 意义 上 的 非常 规则 现象 检测 。 

一 旦 检测 到 了 攻击 行为 ， 入 侵 检测 系统 的 响应 模块 就 会 对 攻击 采取 相应 的 反应 。 反 
应 因 产 品 而 异 ， 但 通常 都 包括 通知 管理 员 、 中 断 连接 、 为 法 庭 分 析 和 证 据 收 集 而 做 的 会 
话 记录 。 

基于 网 络 的 入 侵 检测 系统 能 完成 许多 基于 主机 的 入 侵 检测 系统 无 法 提供 的 功能 。 实 际 
上 ， 许 多 客户 在 最 初 使 用 入 侵 检 测 系统 时 ， 都 配置 了 基于 网 络 的 入 侵 检测 ， 因 为 它 具有 成 
本 低 、 反 应 速度 较 快 等 优点 。 

(2) 基于 主机 的 IDS 
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基于 主机 的 入 侵 检 测 往 往 以 系统 日 志 、 应 用 程序 日 志 等 作为 数据 源 ， 当 然 也 可 以 通过 
其 他 手段 从 所 在 的 主机 收集 信息 进行 分 析 。 基 于 主机 的 入 侵 检测 系统 保护 的 一 般 是 所 在 的 
系统 。 

基于 主机 的 IDS 分 析 的 信息 来 自 于 单个 的 计算 机 系统 ， 这 使 得 它 能 够 相对 可 靠 、 精 确 
地 分 析 入 侵 活动 ， 能 精确 地 决定 哪 一 个 进程 和 用 户 参 与 了 对 操作 系统 的 一 次 攻击 。 此 外 ， 
不 像 基 于 网 络 的 IDS， 基 于 主机 的 IDS 能 “看 到 ”一 次 企图 攻击 的 结局 ， 因 为 它 能 直接 控 
制 和 监视 那些 攻击 者 感 兴趣 的 数据 文件 和 系统 进程 。 

尽管 基于 主机 的 入 侵 检测 系统 不 如 基于 网 络 的 入 侵 检 测 系统 快捷 ， 但 它 确实 具有 基于 
网 络 的 入 侵 检 测 系统 无 法 比拟 的 优点 。 这 些 优点 包括 更 好 的 辨识 分 析 、 对 特殊 主机 事件 的 
紧密 关注 及 低廉 的 成 本 。 
12.5.3 ”发 展 方向 

无 论 从 规模 与 方法 上 ， 入 侵 技 术 近 年 来 都 发 生 了 变化 。 入 侵 的 手段 与 技术 也 有 了 “ 进 
步 与 发 展 ”。 入 侵 技 术 的 发 展 与 演化 主要 反映 在 下 列 儿 个 方面 。 

(1) 入 侵 或 动机 的 综合 化 与 复杂 化 

入 侵 的 手段 有 多 种 ， 入 侵 者 往往 采取 多 种 攻击 手段 。 由 于 网 络 防 范 技术 的 多 重 化 ， 攻 
击 的 难度 增加 ， 使 得 入 侵 者 在 实施 入 侵 或 攻击 时 往往 同时 采取 多 种 入 侵 的 手段 ， 以 保证 入 
侵 的 成 功 概 率 ， 并 可 在 攻击 实施 的 初期 掩盖 攻击 或 入 侵 的 真实 目的 。 

(2) 入 侵 主体 对 象 的 间接 化 ， 即 实施 入 侵 与 攻击 的 主体 的 隐蔽 化 

通过 一 定 的 技术 ， 可 掩盖 主体 的 源 地 址 及 主机 地 址 。 即 使 用 了 隐蔽 技术 后 ， 对 于 被 攻 
击 对 象 的 攻击 主体 是 无 法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 

对 于 网 络 的 入 侵 与 攻击 ， 其 初期 往往 是 针对 某 公 司 或 一 个 网 站 ， 其 攻击 的 目的 可 能 是 
某 些 网 络 技术 爱好 者 的 猎奇 行为 ， 也 不 排除 商业 的 盗窃 与 破坏 行为 。 由 于 战争 对 电子 技术 
与 网 络 技术 的 依赖 性 越 来 越 大 ， 随 之 产生 、 发 展 、 逐 步 升 级 到 电子 战 与 信息 战 。 信 息 战 无 
论 其 规模 与 技术 都 与 一 般 意 义 上 的 计算 机 网 络 的 入 侵 与 攻击 不 可 相提并论 。 信 息 战 的 成 败 
关系 到 国家 主干 通信 网 络 的 安全 ， 是 与 任何 主权 国家 领土 安全 一 样 重要 的 国家 安全 。 

(4) 入 侵 或 攻击 的 分 布 化 

以 往常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 ， 由 于 防范 技术 的 发 展 使 得 此 类 行为 不 能 
奏效 。 所 谓 的 分 布 式 拒绝 服务 (DDoS ) 在 很 短 时 间 内 可 造成 被 攻击 主机 的 瘫痪 。 晶 此 类 分 
布 式 的 单 击 信息 模式 与 正常 通信 无 差异 ， 所 以 往往 在 攻击 发 动 的 初期 不 易 被 确认 。 分 布 式 
攻击 是 近期 最 常用 的 攻击 手段 。 

(5) 攻击 对 象 的 转移 

入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ， 但 近期 来 的 攻击 行为 却 发 生 了 策略 性 的 改变 ， 由 
攻击 网 络 改 为 攻击 网 络 的 防护 系统 ， 且 有 愈演愈烈 的 趋势 。 现 已 有 专门 针对 IDS 作 攻 击 的 
报道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 、 特 征 描述 、 通 信 模 式 等 ， 找 出 IDS 的 弱点 ， 
然后 加 以 攻击 。 

目前 看 来 ， 入 侵 检测 技术 大 致 朝 下 述 三 个 方向 发 展 。 

@ 分 布 式 入 侵 检 测 

第 一 层 含义 即 针 对 分 布 式 网 络 攻击 的 检测 方法 ;第 二 层 含义 即使 用 户 分 布 式 的 方法 
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来 检测 分 布 式 的 攻击 ， 其 中 的 关键 技术 是 检测 信息 的 协同 处 理 与 入 侵 攻 击 的 全 局 信息 的 
提取 。 

@ 智能 化 入 侵 检测 

使 用 智能 化 的 方法 与 手段 来 进行 入 侵 检 测 。 所 谓 的 智能 化 方法 ， 现 阶段 常用 的 精神 网 
络 、 遗 传 算 法 、 模 糊 技 术 和 免疫 原理 等 方法 ， 常 用 于 入 侵 特征 的 辨识 与 泛 化 。 利 用 专家 系 
统 的 思想 来 构建 入 侵 检测 系统 也 是 常用 的 方法 之 一 ， 特 别 是 具有 自学 能 力 的 专家 系统 ， 实 
现 了 知识 库 的 不 断 更 新 与 扩展 ， 使 设计 的 入 侵 检测 系统 的 防范 能 力 不 断 增强 ， 具 有 更 广泛 
的 应 用 前 景 。 应 用 智能 体 的 概念 来 进行 入 侵 检测 的 尝试 也 己 有 报道 。 较 为 一 致 的 解决 方案 
是 高 效 常规 意义 下 的 入 侵 检测 系统 与 具有 智能 检测 功能 的 检测 软件 或 模块 的 结合 使 用 。 

@ 全 面 的 安全 防御 方案 

使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问题 ， 讲 网 络 安全 作为 一 个 整体 
工程 来 处 理 ， 从 管理 、 网 络 结构 、 加 密 通 道 、 防 火 墙 、 病 毒 防护 和 入 侵 检测 多 方位 全 面 对 
所 关注 的 网 络 作 全 面 的 评估 ， 然 后 提出 可 行 的 全 面 解决 方案 。 

【 例 12-2】 网 络 在 部 属 入 侵 检测 系统 前 拓扑 结构 如 图 12-8 所 示 ,， 如果 要 在 该 网 络 中 
部 属 网 络 IDS 和 主机 IDS， 应 该 如 何 部 属 ， 各 有 什么 优 缺点 。 


图 12-8 部 属 IDS 前 网 络 拓扑 结构 


(1) 使 用 网 络 IDS 

网 络 IDS 的 名 称 来 自 于 它 的 工作 模式 一 一 监视 整个 网 络 。 更 精确 地 说 ， 它 监视 整个 网 
络 的 一 部 分 。 部 属 网 络 IDS 后 的 拓扑 结构 如 图 12-9 所 示 , 我 们 使 用 了 3 个 NIDS, 这 些 IDS 
都 被 放置 在 网 络 最 关键 的 地 方 ， 能 监视 到 关键 部 位 处 所 有 设备 的 网 络 流量 。 这 是 一 个 典型 
的 网 络 保护 方案 拓扑 图 ， 提 供 公 共 服 务 器 子 网 被 NIDS 保护 着 ， 子 网 中 的 一 台 服 务 器 被 入 
侵 后 ， 这 台 服 务 器 便 称 为 一 个 继续 攻击 整个 子 网 的 跳板 。 为 了 预防 更 深层 次 的 危险 ， 必 须 
监视 这 个 子 网 。 

内 网 中 的 主机 被 其 他 的 网 络 IDS 保护 着 ,这样 可 以 减少 内 网 主机 被 入 侵 的 危险 ， 在 网 
络 中 部 属 多 个 NIDS 时 深层 安全 防护 的 典型 。 
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图 12-9 ”部属 网 络 IDS 后 网 络 拓扑 结构 


(2) 使 用 主机 IDS 

主机 IDS 和 网 络 IDS 有 所 不 同 ， 它 只 能 保护 所 在 的 计算 机 。 它 的 一 个 好 处 是 可 以 精确 
地 根据 自己 的 需要 制定 规则 。 例如 , 如 果 运 行 HIDS 的 计算 机 上 没有 运行 域名 服务 (DNS ) ， 
就 不 需要 添加 那些 检测 DNS 攻击 地 规则 集 , 减少 了 不 相关 的 规则 ,可 以 提高 检测 效率 和 降 
低 机 器 负荷 。 

图 12-10 的 拓扑 图 是 一 个 在 服务 器 和 个 人 计算 机 上 安装 了 HIDS 的 网 络 。 正 如 前 面 所 
说 的 ， 安 装 在 邮件 服务 器 上 的 HIDS 主要 只 设置 和 邮件 服务 器 相关 的 规则 ， 使 其 免 受 入 侵 ; 
而 安装 在 WWW 服务 器 上 的 IDS 主要 设置 和 Web 服务 相关 的 规则 ， 检 测 对 WWW 服务 器 
的 攻击 。 在 安装 时 ， 零 散 的 个 人 计算 机 可 以 使 用 常用 的 规则 集 ， 当 有 新 的 漏洞 公布 后 ， 规 
则 要 及 时 和 定期 地 更 新 以 检测 新 漏洞 。 


图 12-10 部 属 主机 IDS 后 网 络 拓扑 结构 
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- 描述 计算 机 网 络 安全 的 组 成 及 影响 网 络 安 全 的 因素 。 

- 列举 你 所 知道 的 操作 系统 所 达到 的 可 信 计 算 机 系统 评估 标准 。 
. 对 网 络 安全 的 威胁 有 哪些 ? 有 哪些 安全 策略 ? 

- 对 称 加 密 体制 与 公 钥 体制 各 有 什么 特点 以 及 有 何 优 缺 点 ? 

- 简单 描述 DES 的 加 密 过 程 。 

. 简单 描述 数字 签名 的 原理 。 

- 描述 常见 的 网 络 攻 击 。 

. 描述 防火 墙 的 工作 原理 和 所 提供 的 功能 。 

. 描述 入 侵 检 测 的 工作 原理 和 特点 。 

10. 列举 1 个 常见 的 入 侵 检测 系统 ， 并 说 明 其 工作 特点 。 
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